リスクベース・アクセスの インストール、構成、お …IBM Tivoli Federated...
136
IBM Tivoli Federated Identity Manager バージョン 6.2.2 リスクベース・アクセスの ストール、構成、および イド SA88-5106-01 (英文原典:SC27-4445-01)
Transcript of リスクベース・アクセスの インストール、構成、お …IBM Tivoli Federated...
IBM Tivoli Federated Identity Managerバージョン 6.2.2
リスクベース・アクセスのインストール、構成、および管理ガイド
SA88-5106-01(英文原典:SC27-4445-01)
���
IBM Tivoli Federated Identity Managerバージョン 6.2.2
リスクベース・アクセスのインインストール、構成、および管理ガイド
SA88-5106-01(英文原典:SC27-4445-01)
���
本書は、IBM Tivoli Federated Identity Manager バージョン 6.2.2 (製品番号 5724-L73)、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。
お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。
原典: SC27-4445-01
IBM Tivoli Federated Identity Manager
Version 6.2.2
Installation, Configuration, and Administration Guide for Risk-Based Access
発行: 日本アイ・ビー・エム株式会社
担当: トランスレーション・サービス・センター
第1刷 2013.4
© Copyright IBM Corporation 2012.
目次図 . . . . . . . . . . . . . . . . . v
表 . . . . . . . . . . . . . . . . . vii
本書について . . . . . . . . . . . . ix資料および用語集へのアクセス . . . . . . . . ixアクセシビリティー . . . . . . . . . . . . x技術研修 . . . . . . . . . . . . . . . . xサポート情報 . . . . . . . . . . . . . . x
第 1 章 リスクベース・アクセスの使用開始までのロードマップ . . . . . . . . . 1
第 2 章 リスクベース・アクセスの概要 . . 3ビジネス・シナリオ . . . . . . . . . . . . 3機能 . . . . . . . . . . . . . . . . . 4機能の概要 . . . . . . . . . . . . . . . 4トランザクション・フロー . . . . . . . . . . 7
第 3 章 インストール . . . . . . . . 11ソフトウェア要件 . . . . . . . . . . . . 11インストール前提条件 . . . . . . . . . . . 12データベースに関する考慮事項 . . . . . . . . 13組み込み solidDB データベースの使用 . . . . 13手動によるデータベースの構成 . . . . . . . 14
リスクベース・アクセスのインストール . . . . . 15リスクベース・アクセスのデプロイ . . . . . . 16リスクベース・アクセスのアンインストール . . . 18既知の問題と回避策 . . . . . . . . . . . 19
第 4 章 構成 . . . . . . . . . . . . 21構成のロードマップ . . . . . . . . . . . 21ログおよびトレースの使用可能化 . . . . . . . 22構成の検証 . . . . . . . . . . . . . . 23
第 5 章 管理 . . . . . . . . . . . . 25リスク管理 . . . . . . . . . . . . . . 25リスク・スコア計算 . . . . . . . . . . 25ランタイム・セキュリティー・サービス外部許可サービス . . . . . . . . . . . . . . 28
WebSEAL でのランタイム・セキュリティー・サービス外部許可サービスの構成 . . . . . 28ランタイム・セキュリティー・サービス外部許可サービスのサンプル構成データ . . . . . 31
セッション構成 . . . . . . . . . . . . 34属性収集サービス . . . . . . . . . . 34属性収集サービスの構成 . . . . . . . . 36
リスク・プロファイルの構成 . . . . . . . 38リスク・プロファイルの構成 . . . . . . 38属性ストレージ . . . . . . . . . . . 40
属性 matcher . . . . . . . . . . . . 40ロケーション matcher の構成 . . . . . 41IP アドレス matcher の構成 . . . . . . 43ログイン時刻 matcher の構成 . . . . . 44カスタム属性 matcher の実装 . . . . . 45
属性ストレージのためのハッシュ・アルゴリズムの構成 . . . . . . . . . . . . . 47
ポリシー管理 . . . . . . . . . . . . . . 48許可ポリシー生成言語 . . . . . . . . . . 48リスクベース・アクセスのポリシー・ルールのサンプル・スクリプト . . . . . . . . . . 51リスクベース・アクセス・ポリシーの作成 . . . 51IBM Tivoli Security Policy Manager を使用したポリシー管理 . . . . . . . . . . . . . 52
IBM Tivoli Security Policy Manager でのリスクベース・アクセスの使用可能化 . . . . . 53IBM Tivoli Security Policy Manager へのポリシーの移行 . . . . . . . . . . . . 56IBM Tivoli Security Policy Manager を使用したリスクベース・アクセス・ポリシーの作成 . 57
デバイス登録 . . . . . . . . . . . . . . 58サイレント・デバイス登録 . . . . . . . . 58承認ベースのデバイス登録 . . . . . . . . 59承認ベースのデバイス登録の構成 . . . . . 59
1 人のユーザーに登録されるデバイス数の構成 . 60
第 6 章 監査 . . . . . . . . . . . . 63監査ログ設定の管理 . . . . . . . . . . . 63監査ログ . . . . . . . . . . . . . . . 64
第 7 章 参照情報 . . . . . . . . . . 69コマンド・リファレンス . . . . . . . . . . 69
manageRbaConfiguration コマンド . . . . . . 69manageRbaConfiguration コマンドの応答ファイルの例 . . . . . . . . . . . . . . 75
manageRbaDevices コマンド . . . . . . . . 75manageRbaPolicy コマンド . . . . . . . . 78
manageRbaPolicy コマンドの応答ファイルの例 81manageRbaRiskProfile コマンド . . . . . . . 82
manageRbaRiskProfile コマンドの応答ファイルの例 . . . . . . . . . . . . . . . 85
manageRbaSessions コマンド . . . . . . . . 85構成プロパティー . . . . . . . . . . . . 87リスク関連の属性 . . . . . . . . . . . . 94
第 8 章 エラー・メッセージの解説 . . . 99
特記事項. . . . . . . . . . . . . . 105
索引 . . . . . . . . . . . . . . . 119
© Copyright IBM Corp. 2012 iii
iv IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
図1. リスクベース・アクセスのアーキテクチャー 52. リスクベース・アクセスのトランザクション・
フローの例 . . . . . . . . . . . . . 7
3. 2 つのロケーションの精度の範囲における最も近いポイント、中間ポイント、および最も遠いポイント . . . . . . . . . . . . . 42
© Copyright IBM Corp. 2012 v
vi IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
表1. リスクベース・アクセスの使用開始までのロードマップ . . . . . . . . . . . . . . 1
2. インストール前提条件のチェックリスト 123. リスクベース・アクセスを構成するためのロードマップ . . . . . . . . . . . . . 21
4. ランタイム・セキュリティー・サービス EASアクセス決定 . . . . . . . . . . . . 28
5. 論理演算子のリスト . . . . . . . . . . 506. 監査イベントのエレメント . . . . . . . 657. manageRbaConfiguration コマンドの演算子の必須パラメーターとオプション・パラメーター . 70
8. manageRbaDevices コマンドの演算子の必須パラメーターとオプション・パラメーター . . . 76
9. manageRbaPolicy コマンドの演算子の必須パラメーターとオプション・パラメーター . . . . 78
10. manageRbaRiskProfile コマンドの演算子の必須パラメーターとオプション・パラメーター . 82
11. manageRbaSessions コマンドの演算子の必須パラメーターとオプション・パラメーター . . . 86
© Copyright IBM Corp. 2012 vii
viii IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
本書について
リスクベース・アクセスは、IBM® Tivoli® Federated Identity Manager のプラグ可能で構成可能なコンポーネントです。リスクベース・アクセスにより、トランザクションの動的リスク・アセスメントまたは信頼性レベルに基づいて、アクセスの決定と適用が行われます。
「IBM Tivoli Federated Identity Manager リスクベース・アクセスのインストール、構成、および管理ガイド」では、リスクベース・アクセスをインストール、構成、および管理するための手順について説明します。リスクベース・アクセスのプロセスおよび機能の概要と、リスクベース・アクセスを実装するための参照情報が含まれています。
資料および用語集へのアクセスこのセクションには、以下が含まれています。
v 『IBM Tivoli Federated Identity Manager ライブラリー』の資料のリスト。
v 『オンライン資料』へのリンク。
v xページの『IBM Terminology Web サイト』へのリンク。
IBM Tivoli Federated Identity Manager ライブラリー
IBM Tivoli Federated Identity Manager ライブラリーの資料は以下のとおりです。
v IBM Tivoli Federated Identity Manager クイック・スタート・ガイド (CF38BML)
v IBM Tivoli Federated Identity Manager インストール・ガイド (GC88-8301-01)
v IBM Tivoli Federated Identity Manager 構成ガイド (GC88-8358-01)
v IBM Tivoli Federated Identity Manager 管理ガイド (SC88-5649-02)
v IBM Tivoli Federated Identity Manager リスクベース・アクセスのインストール、構成、および管理ガイド (SA88-5106-01)
v IBM Tivoli Federated Identity Manager Web サービス・セキュリティー管理ガイド(GC88-4151-02)
v IBM Tivoli Federated Identity Manager Auditing Guide (GC32-2287-04)
v IBM Tivoli Federated Identity Manager Error Message Reference (GC32-2289-04)
v IBM Tivoli Federated Identity Manager Troubleshooting Guide (GC27-2715-01)
オンライン資料
IBM では、製品のリリース時および資料の更新時に、以下の場所に製品資料を掲載しています。
IBM Tivoli Federated Identity Manager のインフォメーション・センターhttp://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html サイトでは、この製品のインフォメーション・センターのウェルカム・ページが表示されます。
© Copyright IBM Corp. 2012 ix
IBM Security インフォメーション・センターこのサイト (http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp) には、すべての IBM Security 製品資料のアルファベット順リストと一般情報が掲載されています。
IBM Publications Centerこのサイト ( http://www-05.ibm.com/e-business/linkweb/publications/servlet/
pbi.wss) には、必要なすべての IBM 資料を見つけるのに役立つカスタマイズ検索機能が用意されています。
IBM Terminology Web サイト
IBM Terminology Web サイトは、製品ライブラリーの用語を 1 つのロケーションに統合したものです。Terminology Web サイトには、http://www.ibm.com/software/
globalization/terminology からアクセスできます。
アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、マウスの代わりにキーボードを使用して、グラフィカル・ユーザー・インターフェースのすべての機能を操作できます。
技術研修以下は英語のみの対応となります。技術研修の情報については、IBM Education
Web サイト (http://www.ibm.com/software/tivoli/education) を参照してください。
サポート情報IBM サポートは、コード関連の問題、およびインストールまたは使用方法に関する短時間の定型質問に対する支援を提供します。 IBM ソフトウェア・サポート・サイトには、http://www.ibm.com/software/support/probsub.html から直接アクセスできます。
注: この製品のインフォメーション・センターの「コミュニティー」タブには、追加のサポート・リソースが用意されています。
x IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 1 章 リスクベース・アクセスの使用開始までのロードマップ
リスクベース・アクセスの使用を開始する前に、重要な概念、タスク、および要件について理解しておいてください。
以下の手順は、リスクベース・アクセスについて理解し、作業を行うための方法を示しています。
表 1. リスクベース・アクセスの使用開始までのロードマップ
タスク 詳細
リスクベース・アクセスとその機能の概要を読みます。
以下を参照してください。
v 3ページの『第 2 章 リスクベース・アクセスの概要』.
v 3ページの『ビジネス・シナリオ』.
v 4ページの『機能』.
リスクベース・アクセス・トランザクションについての情報とアーキテクチャー図を調べます。
以下を参照してください。
v 4ページの『機能の概要』.
v 7ページの『トランザクション・フロー』.
リスク・スコア計算の概念とプロセスについて理解します。
以下を参照してください。
v 25ページの『リスク管理』.
v 25ページの『リスク・スコア計算』.
ソフトウェア要件を満たしていることを確認します。
11ページの『ソフトウェア要件』 を参照。
前提条件が満たされていることを確認します。
12ページの『インストール前提条件』 を参照。
リスクベース・アクセスをインストールおよびデプロイします。
以下を参照してください。
v 15ページの『リスクベース・アクセスのインストール』.
v 16ページの『リスクベース・アクセスのデプロイ』.
リスクベース・アクセスのコンポーネント、属性、プロパティー、およびポリシーを構成します。
21ページの『構成のロードマップ』 を参照。
インストール済み環境および構成を確認します。
23ページの『構成の検証』 を参照。
リスクベース・アクセスのコマンド行インターフェースを使用して、デバイス、ポリシー、属性、およびプロパティーを管理します。
69ページの『コマンド・リファレンス』 を参照。
© Copyright IBM Corp. 2012 1
2 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 2 章 リスクベース・アクセスの概要
リスクベース・アクセスにより、トランザクションの動的リスク・アセスメントまたは信頼性レベルに基づいて、アクセスの決定と適用が行われます。リスクベース・アクセスは、動作データ分析およびコンテキスト・データ分析を使用してリスクを計算します。
リスクベース・アクセスは、IBM Tivoli Federated Identity Manager のプラグ可能で構成可能なコンポーネントです。
リスクベース・アクセスは、以下のことを行います。
v ビジネス・トランザクションでの認証および許可におけるセキュリティーを向上させる。
v 静的属性、コンテキスト属性、および解析的に計算される属性に基づいてリスクを評価する。
v 複数の重み付き属性に基づいてリスク・スコアを計算する。
v アクセス要求に対し、許可、拒否、またはチャレンジする必要があるかどうかを判別するポリシー・ルールを提供する。
リスクベース・アクセスを構成することで、以下のことを行うことができます。
v ユーザーが通常使用するデバイスをサイレントに登録するか、ユーザー自身に登録させるようにする。
v 登録済みデバイスをユーザー資格情報に関連付ける。
v ユーザーが別の未登録デバイスから同じ資格情報を使用して認証を受けようとする場合に、チャレンジを行うか、追加の認証を要求する。
v ユーザーの動作パターンをリスク・スコア計算の係数として使用する。例えば、ユーザーは、通常の営業時間外に保護リソースにアクセスしようとする可能性があります。リスクベース・アクセス・ポリシーを構成して、アクセスを拒否したり、2 次チャレンジでユーザー・アクセスの認証を強制したりすることができます。
ビジネス・シナリオビジネス・トランザクションのセキュリティー・リスク要因が大きい場合、リスクベース・アクセスを実装することは有益です。
以下の例では、トランザクションの信頼性レベルをより高めるためにリスクベース・アクセスを使用できる、いくつかのシナリオを示しています。
v ユーザーが、単なるユーザー ID とパスワード認証では十分でない機密情報へのアクセスを試行します。しかしそのデータは、トークン ID などのより複雑な認証メカニズムを使用するほど機密性の高いデータではありません。
© Copyright IBM Corp. 2012 3
v ユーザーが、信頼できないリモート・ロケーションからアクセスする必要があり、モバイル・デバイスやノートブックなどのデバイスを使用しています。モバイル・ユーザーの十分な認証ができるよう、そのビジネスでは、2 次認証が必要となります。
v ユーザーが、重要なビジネス情報を提供するアプリケーションにアクセスする必要があります。ユーザーは、通常の勤務パターンの範囲外で、この情報にアクセスする可能性があります。
v ユーザーが、従来使用しているデバイスから、標準の使用パターンを維持したまま、リソースにアクセスします。リスクベース・アクセスは、2 次認証メカニズムを制限することによって、ユーザー・エクスペリエンスを向上させます。
機能リスクベース・アクセスには、潜在的なリスクを識別し、アタッカーが資格情報を盗んでも使用できないようにするための、いくつかの機能があります。
v システムからユーザー対話を要求しない、サイレント・デバイス登録。
v リスクベース・アクセスに固有の、すぐに使用できるポリシー属性。
v 現在のトランザクションのリスク・スコアを計算する、リスク・スコアリング・エンジン。リスク・スコアは、コンテキスト属性および動作属性に割り当てられている、構成可能な重みに基づいています。リスク・スコアが高い場合、ユーザーに対してさらにチャレンジが行われるか、アクセスが拒否されます。リスク・スコアが低い場合、ユーザーのアクセスが許可されます。
v リスクベース・アクセスのポリシーおよびポリシー属性を構成したり管理したりするための、コマンド行インターフェース。コマンドは、Jacl スクリプト、Jython スクリプト、およびプログラマチック Java™ API をサポートするWebSphere® Application Server AdminTask フレームワークから使用可能です。
機能の概要リスクベース・アクセスには、外部許可サービス (EAS)、ランタイム許可サービス、および属性収集サービスが含まれます。
以下の図は、リスクベース・アクセスのアーキテクチャーを示しています。この図は、さまざまなコンポーネントが IBM Tivoli Access Manager for e-business のWebSEAL や IBM Tivoli Federated Identity Manager にプラグインする方法も示しています。
4 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
リスクベース・アクセスのランタイム・サービスリスクベース・アクセスは、以下のランタイム・サービスを提供します。
許可サービスリスクベース・アクセスの許可サービスは、IBM Tivoli Federated
Identity Manager ランタイム環境のコンポーネントです。ランタイム許可サービスは、ポリシーを格納し、リスク・スコアを計算し、アクセス決定を行います。許可サービスは、サード・パーティーの適用ポイントが許可決定を得るために呼び出すことができる、XACML over SOAP Web サービスを公開します。
属性収集サービス属性収集サービスは、Web ブラウザー属性およびロケーション属性をユーザーから収集する Representational State Transfer (REST) サービスです。属性収集サービスは、プッシュ・サービスです。リスクを計算するために、収集された属性をポリシー属性として使用するよう、リスクベース・アクセスのランタイム・サービスを構成することができます。 Java ADK を使用して、ユーザーから属性を取得するプル・サービスのカスタム実装をプラグインすることもできます。
リスク・スコアリング・エンジンリスク・スコアリング・エンジンは、リスク・レベルまたは信頼性レベルを計算します。現在のトランザクションのリスク・スコアを表わす単一の整数が、パーセンテージの形式で提供されます。リスク・スコアは、以下のポリシー属性の 1 つ以上に割り当てられている重みに基づいて計算されます。
v デバイス ID またはフィンガープリント。ハードウェアの詳細、IP アドレス、ロケーション情報、オペレーティング・システム、Web ブラウザー・タイプ、Web ブラウザー・バージョン、画面解像度など。
図 1. リスクベース・アクセスのアーキテクチャー
第 2 章 リスクベース・アクセスの概要 5
v 動作パターン。ログインの頻度、アクセスの時間、アクセスの頻度、トランザクションのタイプなど。
v プラグ可能インターフェースによって構成および管理可能な、カスタム属性。リスクベース・アクセスの許可サービスは拡張可能であり、属性の外部ソースを許可サービスに含めることもできます。
リスク・エンジンは、最終許可決定の基礎となる最終リスク・スコアを、ポリシー属性として返します。
ポリシー適用ポイント (PEP)WebSEAL は、リスクベース・アクセスのポリシー適用ポイントです。リスクベース・アクセスは、クロスドメイン認証サービス (CDAS) および外部認証インターフェース (EAI) などの既存の WebSEAL 認証メカニズムと統合されます。リスクベース・アクセスは、カスタム実装環境と IBM ビジネス・パートナー実装環境のいずれにも統合できます。サード・パーティー適用ポイントがサポートされます。例えば、カスタム・アプリケーションを適用ポイントとして使用できます。
外部許可サービスWebSEAL 用のランタイム・セキュリティー・サービス EAS プラグインは、ポリシー決定を適用します。 EAS は要求データを取得して、許可決定要求をリスクベース・アクセスの許可サービスに送信します。許可サービスは、許可決定応答を、該当する WebSEAL アクション (許可、拒否、ステップアップ認証など) にマップします。 EAS は、WebSEAL スタンザ構文を使用した webseald.conf ファイルのエントリーを使用して管理できます。
ポリシー情報ポイント (PIP)ポリシー情報ポイントは、リスクベース・アクセスの許可サービスのコンポーネントです。ポリシー情報ポイントは、初期アクセス要求で提供されていないすべてのポリシー属性を提供します。属性収集サービスにプッシュされるリスク・スコアおよび属性は、PIP を介して許可サービスに提供されます。
IBM Tivoli Federated Identity Manager のランタイム許可サービスを使用して、PIP を構成できます。このインターフェースは、サード・パーティーのポリシー属性を収集して、ポリシー決定プロセッサーなどの PIP にデータを提供します。リスクベース・アクセスには、必要なポリシー属性を提供する、すぐに使用できる PIP 実装環境が含まれています。カスタム PIP を介して、カスタム・ポリシー属性を許可サービスに提供することもできます。
ポリシー決定ポイント (PDP)ランタイム許可サービスは、リスクベース・アクセスのポリシー決定ポイントです。このサービスは、PEP リスクベース・アクセス・プラグインを使用するように構成されています。許可決定は、リスクベース・アクセスに固有のポリシー属性および PIP を使用する許可ポリシーに基づいています。PIP は、リスク・スコア、ユーザー・ロケーション、およびデバイス・タイプなどの情報を提供します。
ポリシー管理ポイント (PAP)IBM Tivoli Federated Identity Manager は、リスクベース・アクセスのポリ
6 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
シー管理ポイントです。リスクベース・アクセスは、リスクを計算するために必要なポリシー、ルール、属性、および重みを構成して管理するためのwsadmin コマンドを提供します。
注: IBM Tivoli Security Policy Manager の既存ユーザーであれば、引き続きこれを使用してリスクベース・アクセス・ポリシーを管理できます。
トランザクション・フロー標準的なリスクベース・トランザクションでは、ユーザーが保護リソースへのアクセスを要求します。リスクベース・アクセスは、リスク・スコアを計算し、アクセスを許可、拒否、または義務付きで許可するのかどうかを決定します。
以下のリスクベース・アクセス・トランザクションの例では、リスク・スコアは、ユーザーに対しチャレンジを行う必要があることを示しています。ユーザーは、チャレンジを正常に完了すると、保護リソースにアクセスするための許可を受け取ります。
以下のプロセスは、シナリオ例でのトランザクションのフローを説明しています。
1. ユーザーが、認証情報を送信するために Web ブラウザー経由で対話し、保護リソースへのアクセスを要求します。保護リソースは、WebSEAL が保護するジャンクション Web アプリケーションです。
2. WebSEAL が要求を検査します。
WebSEAL は、すべてのトランザクションと対話するリバース・プロキシー・サーバーです。ユーザーが要求する保護リソースについて、WebSEAL ポリシ
図 2. リスクベース・アクセスのトランザクション・フローの例
第 2 章 リスクベース・アクセスの概要 7
ー (POP) は、ランタイム・セキュリティー・サービス EAS プラグインを呼び出して要求を許可するように構成されています。EAS は、共有ライブラリー・プラグインであり、WebSEAL プロセスからみて内部にあるため、WebSEAL とEAS の間に送信中のコールアウトはありません。
3. EAS が、最初にローカル・アクセス・マネージャー・ポリシーを検査します。
a. アクセス・マネージャーがアクセスを拒否する場合、EAS はその応答を返し、応答禁止となり続行しません。
b. アクセス・マネージャーがアクセスを許可する場合、EAS はユーザーと要求についてのコンテキスト情報を収集します。 WebSEAL
azn-decision-info スタンザには、XACML over SOAP 許可決定要求を作成するための指定があります。
c. EAS は、許可決定のために、IBM Tivoli Federated Identity Manager のリスクベース・アクセスのランタイム許可サービスに要求を送信します。
4. ランタイム許可サービス (PDP) が、構成済みポリシーを実行し、現在のポリシーに基づいて、該当する PIP を呼び出します。
a. リスク・スコア・ポリシー属性が要求されると、リスク・エンジンが呼び出されます。
b. リスク・エンジンは、コンテキストの詳細を取得し、(必要に応じて) 追加のポリシー属性を要求したのち、リスク・スコアを計算します。
c. 許可サービスは、許可ポリシーに対してリスク・スコア・ポリシー属性を適用し、適切な決定応答をランタイム・セキュリティー・サービス EAS に返します。
d. EAS は、許可、拒否、義務付きで許可という 3 つの決定タイプをサポートしています。この例では、義務付きで許可という決定が返されます。
1) ポリシー決定が、単に許可または拒否である場合、この決定はWebSEAL の permit 決定および not_permit 決定にマップされます。WebSEAL 決定は、azn_svc_decision_access_allowed_ext 呼び出しから返されます。
2) アクセスを許可する応答の場合、WebSEAL は要求を許可し、要求されたリソースへのアクセスを継続します。
3) アクセスを拒否する応答の場合、WebSEAL はエラー・ページを表示し、アクセスが禁止されたことを示します。
5. ランタイム・セキュリティー・サービス EAS は、応答を解析して、許可、拒否、認証レベルのステップアップ、再認証のいずれかの EAS 応答を WebSEAL
に返します。この例では、WebSEAL が適切な認証チャレンジを適用できるよう、応答は認証レベルのステップアップになっています。
リスクベース・アクセス EAS は、返された義務を特定の WebSEAL 外部認証インターフェース (EAI) メカニズムにマップするための構成も提供します。EAI は、顧客または IBM ビジネス・パートナーが実装可能な、WebSEAL EAI
または CDAS 外部認証メカニズムのいずれかです。
6. WebSEAL が、該当する認証メカニズムをユーザーに指定します。
7. ユーザーが認証メカニズムにリダイレクトされ、チャレンジ応答が作成されます。
8. チャレンジ応答がユーザーに示されます。
8 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
9. ユーザーがチャレンジに応答します。
10. チャレンジ要求に対するユーザーの応答が成功すると、チャレンジが処理されます。 EAI アプリケーションが、ユーザーの資格情報と成功したステップアップ・レベルを、HTTP 応答で WebSEAL に返します。
11. WebSEAL が、EAI アプリケーションが提供する新しい資格情報の詳細を使用してユーザーのセッションを更新し、ユーザーを保護リソースにリダイレクトします。
12. 保護リソースにアクセスするというユーザーからの要求が、302 リダイレクトを介して送信されます。この要求では、ユーザーによる対話は不要です。
13. WebSEAL が要求を検査し、要求をランタイム・セキュリティー・サービスEAS に送信して許可を求めます。
14. EAS がユーザーと要求についてのすべてのコンテキスト情報を収集し、XACML over SOAP 決定要求を作成します。EAS が要求をランタイム許可サービスに送信します。
15. リスクベース・アクセスのランタイム・サービスが、コンテキストなどのポリシー属性を取得し、リスク・スコアを計算します。ランタイム・サービスが、構成済みの許可ポリシーに対してリスク・スコアを適用し、アクセスを許可するためにポリシー決定応答を返します。
16. ランタイム・セキュリティー・サービス EAS が応答を解釈し、許可決定をWebSEAL に返します。
17. WebSEAL が、元の要求を許可し、ユーザーの Web ブラウザーに戻らなくてもその要求が続行できるようにします。ユーザーは、このトランザクション処理を認識しません。
第 2 章 リスクベース・アクセスの概要 9
10 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 3 章 インストール
IBM Update Installer for WebSphere Software を使用して、リスクベース・アクセスをインストールします。リスクベース・アクセスをインストールした後、manageRbaConfiguration コマンドを使用して各種コンポーネントをデプロイします。
ソフトウェア要件リスクベース・アクセスをインストールおよび構成する前に、ご使用の環境がオペレーティング・システム、データベース、および Web ブラウザーの要件を満たしていなければなりません。
サーバーでサポートされるオペレーティング・システムAIX®
v AIX 6.1 POWER® System
v AIX 7.1 POWER System
Linux
v Red Hat Enterprise Linux Server バージョン 6 (x86-64)
v Red Hat Enterprise Linux バージョン 5 Advanced Platform (x86-64)
v SUSE Linux Enterprise Server バージョン 10 (x86-64)
v SUSE Linux Enterprise Server バージョン 11 (x86-64)
Microsoft Windows
v Microsoft Windows Server 2008、Enterprise Edition (x86-64)
v Microsoft Windows Server 2008、R2 Enterprise Edition (x86-64)
サポートされる Web ブラウザーv Mozilla Firefox 11.0 以降
v Google Chrome
v Microsoft Internet Explorer 8 以降
注: リスク・スコア計算でロケーション属性を使用する予定の場合は、Geolocation API をサポートしている、Internet Explorer バージョン 9 以降が必要です。
サポートされるデータベースv IBM DB2® Enterprise Server Edition バージョン 9.7 (フィックスパック 2 以降を適用済み)
v IBM solidDB® バージョン 7.0
© Copyright IBM Corp. 2012 11
インストール前提条件リスクベース・アクセスをインストールする前に、前提条件ソフトウェアをインストールおよび構成して、環境を準備する必要があります。
まだ環境の準備をしていない場合は、リスクベース・アクセスをインストールする前に、以下のタスクを実行してください。
表 2. インストール前提条件のチェックリスト
タスク 詳細
IBM Update Installer for WebSphere Software
の最新バージョンをダウンロードしてインストールします。
IBM サポートのページ http://www-
01.ibm.com/support/
docview.wss?uid=swg24020448 を参照してください。
WebSphere Application Server Network
Deployment バージョン 7.0 (フィックスパック 15 以降を適用済み) をインストールします。注: クラスター環境で WebSphere Application
Server を使用している場合は、WebSphere
Application Server Network Deployment バージョン 7.0 (フィックスパック 23 以降を適用済み) をインストールする必要があります。
WebSphere Application Server バージョン 7.0
インフォメーション・センター(http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/
index.jsp) を参照してください。「製品のインストール」を検索します。
WebSphere Application Server をまだ始動していない場合は、始動します。
IBM Tivoli Access Manager for e-business バージョン 6.1.1 (フィックスパック 4 以降を適用済み) および WebSEAL コンポーネントをインストールします。
IBM Tivoli Access Manager for e-business バージョン 6.1.1 インフォメーション・センター (http://publib.boulder.ibm.com/infocenter/
tivihelp/v2r1/topic/com.ibm.itame.doc/
welcome.htm) を参照してください。
IBM Tivoli Federated Identity Manager バージョン 6.2.2 (フィックスパック 1 以降を適用済み) をインストールします。
IBM Tivoli Federated Identity Manager バージョン 6.2.2 インフォメーション・センター(http://publib.boulder.ibm.com/infocenter/tivihelp/
v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-
homepage.html) を参照してください。
ドメインを作成し、IBM Tivoli Federated
Identity Manager のランタイム・ノードをデプロイします。
IBM Tivoli Federated Identity Manager バージョン 6.2.2 インフォメーション・センター(http://publib.boulder.ibm.com/infocenter/tivihelp/
v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-
homepage.html) の「構成ガイド」を参照してください。「新しいドメインの作成とデプロイ」を検索します。
組み込み solidDB データベースを自動セットアップするか、任意のデータベースを手動セットアップするかを選択します。
13ページの『データベースに関する考慮事項』 を参照。
14ページの『手動によるデータベースの構成』も参照してください。
12 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
データベースに関する考慮事項リスクベース・アクセス・データベースには、構成プロパティー、デバイス・フィンガープリント、およびセッション属性が格納されます。組み込み solidDB データベースを自動セットアップするか、サポートされるデータベースを手動セットアップするかを選択できます。
リスクベース・アクセスでは、データベースのセットアップ方法として次の 2 つのオプションがあります。
組み込み solidDB データベース・セットアップこのセットアップは、即座に使用できる、迅速で簡単な解決方法です。この方法では、データベースを手動でインストールまたは構成する必要はありません。ただしこのセットアップは、スタンドアロン WebSphere Application
Server 構成でのみ機能します。
手動データベース・セットアップこのセットアップは、実稼働環境で推奨されます。この方法では、データベースをインストールおよび構成し、データベース・スキーマを手動でセットアップする必要があります。このセットアップは、WebSphere Application
Server のスタンドアロン構成であるか、クラスター・セットアップによるNetwork Deployment であるかに関係なく実行できます。
組み込み solidDB データベースの使用組み込み solidDB データベース・セットアップでは、データベースを手動でインストールする必要も構成する必要もありません。
このタスクについて
注: 組み込み solidDB データベースの自動セットアップは、スタンドアロンWebSphere Application Server 構成でのみ機能します。
手順1. リスクベース・アクセスをデプロイする前に、WebSphere Application Server に
jdbc/rba という JNDI コンテキストを作成しないようにしてください。
2. JDNI 名 jdbc/rba を使用してインストールおよび事前構成されたデータベースが deploy 操作によって検出されない場合は、solidDB データベースが自動的にインストールされます。
3. データベース・スキーマも自動的に solidDB データベースに作成されます。スキーマのセットアップ・スクリプトを実行するための手動ステップは、これ以上は必要ありません。
4. オプション: deploy 操作を実行した後、組み込み solidDB データベースのパスワードをすぐに変更することをお勧めします。以下の manageRbaConfigurationコマンドを使用します。
$AdminTask manageRbaConfiguration {-operation create-propertyName dbpassword -propertyValue new-password}
次のタスク
リスクベース・アクセスをインストールおよびデプロイします。
第 3 章 インストール 13
手動によるデータベースの構成組み込み solidDB データベースを使用していない場合は、データベースをインストールおよび構成して、スキーマをセットアップする必要があります。この手動データベース・セットアップは、実稼働環境で推奨されます。
始める前に
重要: 組み込み solidDB データベースの自動セットアップを選択した場合は、この手動セットアップ手順を実行する必要はありません。
手順1. サポートされるデータベースをインストールします。
2. WebSphere Application Server に jdbc/rba という JNDI コンテキストを作成し、構成します。詳しくは、WebSphere Application Server バージョン 7.0 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp)
を参照してください。「データ・ソースの構成」で検索します。
3. リスクベース・アクセス用データベース・スキーマを作成するスクリプトを実行します。
AIX® または Linux システム
データベースを作成するためのスクリプトは、/opt/IBM/FIM/rba/
dbscripts/ ディレクトリーにあります。
a. ご使用のデータベースに対応するフォルダー内の create_schema.sh
シェル・スクリプトを実行します。
b. スクリプトを実行するときに、データベース・ユーザー名を指定します (これは必須パラメーターです)。例えば、DB2 では次のようになります。
/opt/IBM/FIM/rba/dbscripts/db2/create_schema.sh database_user_name
Windows システム
データベース・スキーマを作成するための SQL ファイルおよびバッチ・ファイルは、C:¥Program Files¥IBM¥FIM¥rba¥dbscripts¥ ディレクトリーにあります。
a. create_schema.sql ファイルを編集して、&DBUSER をデータベース・ユーザー名に置き換えます。
b. ご使用のデータベースに対応するフォルダー内の create_schema.bat
バッチ・ファイルを実行します。入力パラメーターとしてcreate_schema.sql ファイルを指定します。例えば、DB2 では次のようになります。C:¥Program Files¥IBM¥FIM¥rba¥dbscripts¥db2¥create_schema.bat create_schema.sql
4. SQL スクリプトの実行が開始すると、パスワードの入力を求めるプロンプトが出されます。データベース・ユーザーのパスワードを入力して、先に進みます。
次のタスク
リスクベース・アクセスをインストールおよびデプロイします。
14 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
リスクベース・アクセスのインストールUpdate Installer for WebSphere Software を使用して、リスクベース・アクセスのコンポーネントとプラグインをインストールします。
始める前に
インストール前提条件の作業を完了しておきます。
手順1. ご使用のオペレーティング・システムに応じて、次のいずれかのアクションを実行します。
AIX® または Linux システムroot としてログインします。
Windows システム管理者グループのメンバーとしてログインします。
2. http://www.ibm.com/support/docview.wss?uid=swg24032796 から6.2.2.-TIV-ITFIM-FP0000-RBA.pak ファイルをダウンロードします。
3. Update Installer ウィザードを開始するには、Update Installer のルート・ディレクトリーから update.sh シェル・スクリプトまたは update.exe アプリケーション・ファイルを実行します。
例:
AIX® または Linux システム/opt/IBM/WebSphere/UpdateInstaller/update.sh
Windows システムC:¥Program Files¥IBM¥WebSphere¥UpdateInstaller¥update.exe
注: インストール・プロセス中に、Update Installer が警告メッセージまたは情報メッセージを表示する場合があります。メッセージを無視して、インストールを続行してください。
4. ウェルカム・ページで、「次へ」をクリックします。
5. 「ディレクトリー・パス」フィールドで、IBM Tivoli Federated Identity
Manager ホーム・ディレクトリーを指定し、「次へ」をクリックします。
以下に例を示します。
AIX® または Linux システム/opt/IBM/FIM
Windows システムC:¥Program Files¥IBM¥FIM
6. 「保守パッケージのインストール」を選択して、「次へ」をクリックします。
7. 6.2.2-TIV-ITFIM-FP0000-RBA.pak ファイルが配置されたディレクトリーを指定し、「次へ」をクリックします。
8. 6.2.2-TIV-ITFIM-FP0000-RBA.pak を選択して、「次へ」をクリックします。
9. 「インストールを実行する権限があることを確認します」を選択し、インストール仕様を確認して、「次へ」をクリックします。
第 3 章 インストール 15
10. インストールが完了したら、「終了」をクリックします。
11. リスクベース・アクセスがインストールされたアプリケーション・サーバーまたはデプロイメント・ノードを再始動します。再始動が必要なのは、コマンド行インターフェースでは WebSphere Application Server の AdminTask フレームワークが拡張されるためです。
タスクの結果
これでリスクベース・アクセスがインストールされました。
次のタスク
リスクベース・アクセスをデプロイします。
リスクベース・アクセスのデプロイリスクベース・アクセスをインストールした後、manageRbaConfiguration コマンドの deploy 操作を使用して、リスクベース・アクセス・データベースをセットアップし、各種コンポーネントをデプロイします。
始める前に1. リスクベース・アクセスをインストールします。
2. インストール済み環境を有効にするため、リスクベース・アクセスをインストールしたアプリケーション・サーバーまたはデプロイメント・ノードを再始動します。
3. 組み込み solidDB データベースを自動セットアップするか、任意のデータベースを手動セットアップするかを選択します。 13ページの『データベースに関する考慮事項』 を参照。
このタスクについて
リスクベース・アクセスの wsadmin コマンドは、クラスターを持つ管理対象環境のDeployment Manager ノードで呼び出されます。
deploy 操作によって、ランタイム・セキュリティー・サービスが IBM Tivoli
Security Policy Manager を使用して構成されていることが検出された場合、ランタイム・セキュリティー・サービスの既存のインスタンスは上書きされません。そのような場合は、リスクベース・アクセス・アクセス・ポリシーを管理するためのポリシー管理ポイント (PAP) として IBM Tivoli Security Policy Manager を使用できます。この場合、リスクベース・アクセスの manageRbaPolicy コマンドは一部の操作が使用不可になるため、このコマンドをポリシー管理に使用することはできません。IBM Tivoli Federated Identity Manager のランタイム・セキュリティー・サービスと IBM Tivoli Security Policy Manager のランタイム・セキュリティー・サービスは、リスクベース・アクセスについて同じ WebSphere Application Server プロファイルを共有する必要があります。
手順1. コマンド・ウィンドウを開き、現行ディレクトリーを、WebSphere Application
Server プロファイルがある場所に切り替えます。 以下に例を示します。
16 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
AIX® または Linux システム/opt/IBM/WebSphere/AppServer70/profiles/AppSrv01/bin
Windows システム:C:¥Program Files¥IBM¥WebSphere¥AppServer¥profiles¥AppSrv01¥bin
2. wsadmin ツールを開始するには、コマンド・プロンプトに次のいずれかのコマンドを入力します。
AIX® または Linux システム./wsadmin.sh -username username -password password
Windows システム:wsadmin.bat -username username -password password
3. リスクベース・アクセスのランタイム環境およびプラグインをデプロイするには、以下の wsadmin コマンドを実行します。
$AdminTask manageRbaConfiguration {-operation deploy}
リスクベース・アクセスが正常にデプロイされたことを示すメッセージが表示されます。
4. ランタイム・セキュリティー・サービスのセキュリティーを使用可能にします。
a. WebSphere Application Server で、グループを作成します。
b. WebSphere Application Server 管理コンソールで、「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション」>「IBM Tivoli Runtime Security Services」をクリックします。
c. 「詳細プロパティー」の下の「ユーザー/グループ・マッピングへのセキュリティー・ロール」をクリックします。役割のリストが表示されます。
a. 「tscc-admin」役割を選択して、「グループのマップ」をクリックします。
b. 作成したグループを選択し、「OK」をクリックします。
c. 「OK」をクリックし、構成を保存します。
d. manageRbaConfiguration コマンドを使用して、tscc-admin 役割に割り当てられたグループのユーザー名およびパスワードと一致するようにrtss.admin.basic.authn.username および rtss.admin.basic.authn.pwd プロパティーを構成します。
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.username -propertyValue user_name}
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.pwd -propertyValue password}
タスクの結果
リスクベース・アクセスがデプロイされました。
JNDI コンテキスト名 jdbc/rba を使用してインストールおよび構成されたデータベースがない場合は、組み込み solidDB データベースがインストールされ、スキーマが作成されます。
次のタスク
リスクベース・アクセスの属性、ポリシー、およびランタイム・プロパティーを構成します。
第 3 章 インストール 17
リスクベース・アクセスのアンインストールmanageRbaConfiguration コマンドを使用して、リスクベース・アクセス・コンポーネントを除去します。コンポーネントを除去したら、IBM® Update Installer for
WebSphere Software を使用して、リスクベース・アクセスをアンインストールします。
このタスクについて
undeploy 操作によって、ランタイム・セキュリティー・サービスが IBM Tivoli
Security Policy Manager を使用して構成されていることが検出された場合、ランタイム・セキュリティー・サービスのインスタンスは除去もアンデプロイもされません。
手順1. ランタイム構成ファイルおよびプラグインを除去するには、以下のコマンドを実行します。
$AdminTask manageRbaConfiguration {-operation undeploy}
リスクベース・アクセスが正常にアンデプロイされたことを示すメッセージが表示されます。
注: 組み込み solidDB データベースを使用している場合は、undeploy 操作を実行すると、FIM_install_dir/rba/solidDB/backup-timeStampInteger にデータベースのバックアップが作成されます。
2. リスクベース・アクセスをアンインストールするには、Update Installer ウィザードを開始します。Update Installer のルート・ディレクトリーから update.sh シェル・スクリプトまたは update.exe アプリケーション・ファイルを実行します。 以下に例を示します。
AIX® または Linux システム/opt/IBM/WebSphere/UpdateInstaller/update.sh
Windows システムC:¥Program Files¥IBM¥WebSphere¥UpdateInstaller¥update.exe
3. ウェルカム・ページで「次へ」をクリックします。
4. 「ディレクトリー・パス」フィールドで、リスクベース・アクセスがインストールされているディレクトリーを指定し、「次へ」をクリックします。 例:
AIX® または Linux システム/opt/IBM/FIM
Windows システムC:¥Program Files¥IBM¥FIM
5. 「保守パッケージのアンインストール」を選択して、「次へ」をクリックします。
6. RBAFP0000.pak を選択して、「次へ」をクリックします。
7. 要約情報を確認し、「次へ」をクリックします。
8. アンインストールが完了したら、「終了」をクリックします。
18 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
9. リスクベース・アクセス用のコマンド行インターフェースが含まれている Java
アーカイブ (JAR) ファイルを手動で削除します。アンインストール・ウィザードでは、アプリケーション・サーバーが停止するまでこのファイルを除去できません。JAR ファイル内のクラスがアプリケーション・サーバーで使用されているため、このファイルはロックされています。
a. アプリケーション・サーバーが停止したら、WebSphere Application Server インストール・ディレクトリー内の plugins ディレクトリーに移動します。例:
AIX® または Linux システム/opt/IBM/WebSphere/AppServer/plugins
Windows システムC:¥Program Files¥IBM¥WebSphere¥AppServer¥plugins
b. com.tivoli.am.rba.cli_7.0.0.jar という名前の JAR ファイルを削除します。
既知の問題と回避策リスクベース・アクセスの問題としては、属性の取得または収集の問題、接続エラー、パフォーマンスの問題などがあります。既知の問題と、問題の原因について説明します。回避策を使用して、リスクベース・アクセス使用時に発生する可能性のある問題をトラブルシューティングします。
地理的位置属性が取得されない問題 ロケーション属性を収集するように属性収集サービスを構成したが、有線で
インターネット接続されたデバイスからロケーション属性が取得されません。
回避策
ロケーション属性を取得するには、ユーザーのデバイスの全地球測位システム (GPS) を使用できるようにします。
デバイスに GPS がない場合は、デバイスを WiFi ネットワークに接続してロケーション属性を取得するようにしてください。
接続が使用不可問題 SystemOut.log ファイル内に「接続が無効です...待機中にタイムアウトにな
りました」のようなエラー・メッセージがあります。
回避策 WebSphere Application Server で、最大接続プール・サイズを、予想される最大並行ロード数の 3 倍よりも大きい値にしてください。
例えば、いずれかの時点で最大 10 人の同時ユーザーが予想される場合は、最大接続プール・サイズを 30 より大きい値に設定します。
また、最大スレッド・プール・サイズは最大接続プール・サイズの少なくとも 2 倍になるようにしてください。
第 3 章 インストール 19
詳しくは、WebSphere Application Server バージョン 7.0 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp) を参照してください。「接続プール設定」および「スレッド・プール設定」を検索します。
属性取得エラー問題 SystemOut.log ファイルに、リスク関連属性の取得に関するエラーが含まれ
ています。
回避策 WebSphere Application Server Java 仮想マシン設定で、Java ヒープ・サイズを大きくします。
初期ヒープ・サイズを 1 GB に、最大ヒープ・サイズを 2 GB に設定します。
詳しくは、WebSphere Application Server バージョン 7.0 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp) を参照してください。「Java 仮想マシン設定」を検索します。
JavaScript ファイルのロード失敗問題 info.js のロードに失敗することがあります。
回避策 WebSphere Application Server Java 仮想マシン設定で、Java ヒープ・サイズを大きくします。
初期ヒープ・サイズを 1 GB に、最大ヒープ・サイズを 2 GB に設定します。
詳しくは、WebSphere Application Server バージョン 7.0 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp) を参照してください。「Java 仮想マシン設定」を検索します。
開いているファイルが多すぎます問題 要求に対する WebSphere Application Server の待機時間が非常に長くなって
います。 SystemOut.log ファイルにエラー・メッセージ「開いているファイルが多すぎます」が何度か表示されます。
回避策 開いているファイル記述子の制限数を大きくしてください。
AIX および Linux システムの場合は、次の ulimit コマンドを実行します。
ulimit -n nnnn
ここで、nnnn は必要なファイル数です (例: 4096)。
同じシェルから、新しい ulimit 設定で WebSphere Application Server を再始動します。
20 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 4 章 構成
構成では、標準の認証メカニズムおよび許可メカニズムがリスクベース・アクセス決定を含むようにする必要があります。正常に構成されたことを検証するには、リスクベース・アクセスによって保護されるリソースにアクセスします。リスク・スコア計算に向けて、デバイスが登録され、セッション属性が取り込まれたことを確認します。
構成のロードマップリスクベース・アクセスの使用を開始する前に、外部許可サービス (EAS)、属性収集サービス、必須属性、プロパティー、およびポリシーを構成する必要があります。
リスクベース・アクセスをインストールしてデプロイした後に、以下の構成タスクを実行する必要があります。
表 3. リスクベース・アクセスを構成するためのロードマップ
タスク 詳細
WebSEAL ランタイム・セキュリティー・サービス EAS を構成します。
28ページの『WebSEAL でのランタイム・セキュリティー・サービス外部許可サービスの構成』を参照。
属性収集サービスを構成します。 36ページの『属性収集サービスの構成』 を参照。
リスク・スコア計算に必要となる属性を構成します。
38ページの『リスク・プロファイルの構成』 を参照。
サンプル・スクリプトを使用して、リスクベース・アクセス用のポリシーを作成します。すぐに使用できるサンプル・スクリプトは、許可ポリシー生成言語で記述されており、エンドツーエンド機能ポリシーの基本ルールを提供します。注: IBM Tivoli Security Policy Manager の既存ユーザーであれば、リスクベース・アクセス・ポリシーを管理するためのポリシー管理ポイントとして、引き続きこれを使用することができます。詳しくは、 52ページの『IBM
Tivoli Security Policy Manager を使用したポリシー管理』を参照してください。
以下を参照してください。
v 51ページの『リスクベース・アクセスのポリシー・ルールのサンプル・スクリプト』.
v 51ページの『リスクベース・アクセス・ポリシーの作成』.
ログおよびトレースを使用可能にします。 22ページの『ログおよびトレースの使用可能化』 を参照。
構成を検証します。 23ページの『構成の検証』 を参照。
© Copyright IBM Corp. 2012 21
注: manageRbaConfiguration コマンドまたは manageRbaRiskProfile コマンドを使用してプロパティーや属性を構成したら、reload オプションが指定されたmanageRbaConfiguration コマンドを実行して、変更内容を有効にする必要があります。
ログおよびトレースの使用可能化リスクベース・アクセスをインストールした後、WebSEAL および IBM Tivoli
Federated Identity Manager で、リスクベース・アクセス・コンポーネントのトレースおよびロギングの機能を使用可能にする必要があります。問題を切り分けてデバッグするには、ログ・ファイルの情報を使用します。
手順1. WebSEAL でのランタイム・セキュリティー・サービス外部許可サービス (EAS)
のロギングを使用可能にします。
pdadmin シェルを使用して、EAS のトレースおよびログを使用可能にします。
pdadmin> server task webseal_server_nametrace set EAS_component_name 9 file path=log_file_path
以下に例を示します。
pdadmin> server task default-webseald-epcloud127trace set pdweb.rtss 9 file path=/tmp/rtss.log
注: この設定は、永続的なものではありません。WebSEAL を再始動すると、トレースは無効になります。
ログ・ファイルは、指定された場所の絶対ファイル・パスにあります。
2. WebSphere Application Server 管理コンソールを使用して、IBM Tivoli Federated
Identity Manager ランタイム・セキュリティー・サービスのロギングを使用可能にします。
a. WebSphere Application Server コンソールで、「トラブルシューティング」>「ログおよびトレース」>「server_name」を選択します。
b. 「ログ詳細レベルの変更」のリンクをクリックします。
c. 「追加プロパティー」で、「ログ詳細レベルの変更」をクリックします。
d. 「ランタイム」タブで、以下のトレース・ストリングを追加します。*=info:com.ibm.tscc.rtss.*=all:com.tivoli.am.rba.*=all:com.ibm.sec.authz.*=all
e. 「ランタイム変更も構成に保存する」を選択します。
f. 「適用」をクリックし、変更内容を保存します。
g. WebSphere Application Server を再始動します。
このログ・ファイルの場所は、WAS_HOME/profiles/profile_name/logs/server1/
trace.log です。
3. データベース操作のきめ細かなロギングを行うには、db.logging.enabled プロパティーを true に設定します。
$AdminTask manageRbaConfiguration {-operation update-propertyName db.logging.enabled -propertyValue true}
22 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
WebSphere Application Server トレース・ファイルでは、個々の照会 (接続情報付き) すべてについてのロギングが開始されます。
4. リスク計算に関連する問題をトラブルシューティングするには、generate.risk.calculation.reports プロパティーを true に設定します。
$AdminTask manageRbaConfiguration {-operation update-propertyName generate.risk.calculation.reports-propertyValue true}
リスクが計算されるたびに、HTML リスク・レポートが生成されます。このレポート・ファイルは、WebSphere Application Server Java 仮想マシン (JVM) の一時ディレクトリー内の rba というフォルダーに格納されます。java.io.tmpdir システム・プロパティーの値は、JVM 一時ディレクトリーのパスを示します。例えば、AIX® または Linux システムの場合、このファイルは/tmp/rba ディレクトリーに格納されることになります。
次のタスク
リスクベース・アクセスの構成を検証します。
構成の検証リスクベース・アクセス・サービスが実行中であり、デバイスが正常に登録されていることを検証します。検証ステップが正常に終了すれば、リスクベース・アクセスはシステムに正しくインストールされ、構成されています。
始める前にv リスクベース・アクセスをインストールおよびデプロイします。
v WebSEAL ランタイム・セキュリティー・サービス EAS を構成します。
v 属性収集サービスを構成します。
v リスク・スコア計算に必要となる属性を構成します。
v リスクベース・アクセス用にポリシーを作成し、構成します。
v ログおよびトレースを使用可能にします。
手順1. ランタイム・セキュリティー・サービスがリスクベース・アクセス・プラグインをロードするように構成されていることを確認します。
WAS_HOME/profiles/profile_name/logs/server1/trace.log ファイルで、以下のエントリーを検索します。
AuthzRuntimeS 3 Successful registry finder : RBA AttributeSession PIPAuthzRuntimeS 3 Successful registry finder : USER FINGERPRINT COUNT PIPAuthzRuntimeS 3 Successful registry finder : RBA RiskCalculator PIP
これらのエントリーが存在すれば、リスクベース・アクセス・プラグインが正常にロードされています。
これらのエントリーが見つからない場合は、IBM Tivoli Federated Identity
Manager ランタイム・セキュリティー・サービスのトレース設定が正しいことを確認してください。 22ページの『ログおよびトレースの使用可能化』 を参照。
第 4 章 構成 23
2. すぐに使用できるサンプル・ポリシーを構成した場合は、リスクベース・アクセス・ポリシーが機能していることを確認します。
a. 保護リソースとして構成した URL にアクセスして、ログインします。ワンタイム・パスワード (OTP) などの 2 次チャレンジが行われます。2 次チャレンジで正しく応答すると、リソースにアクセスできるようになります。デバイス・フィンガープリントがリスクベース・アクセス・データベースに登録され、リスク・スコアはゼロに初期設定されます。ランタイム・セキュリティー・サービス EAS ログに、ポリシー決定ポイント (PDP) から受信した許可決定が含まれている可能性があります。
b. ログアウトし、前のステップで使用した同じユーザー ID で、同じデバイスから再度ログインします。2 次チャレンジなしで、リソースにアクセスできるようになります。
c. 前のステップで使用した同じユーザー ID で、別のデバイスから同じリソースにアクセスします。2 次チャレンジが行われる場合、リスクベース・アクセスのステップアップ認証が機能しています。格納されているフィンガープリントと属性が一致しない場合は、潜在的なリスクが特定され、ユーザーには確認のためのチャレンジが行われます。ユーザーがこのチャレンジに正しく応答した場合のみ、新しいデバイスが登録されます。ランタイム・セキュリティー・サービス EAS ログに、PDP から 2 次チャレンジに関する要求を受信したことが示されている可能性があります。
3. デバイス・フィンガープリントが登録されていることを確認してください。登録済みデバイスをリスト表示するには、以下の wsadmin コマンドを実行します。
$AdminTask manageRbaDevices {-operation search}
4. セッション属性が収集されていることを確認してください。セッション属性をリスト表示するには、以下の wsadmin コマンドを実行します。
$AdminTask manageRbaSessions {-operation search}
24 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 5 章 管理
外部許可サービス (EAS)、属性収集サービス、セッション属性、デバイス、およびポリシーなど、リスクベース・アクセスのさまざまなコンポーネントを管理します。
リスク管理リスクベース・アクセスのポリシー決定は、リスク・スコアに基づいて行われます。リスク・スコアは、ユーザーから取得された属性に基づいて計算されます。
以下の手順では、リスク管理の主な側面について説明します。
1. リスク・スコア計算に必要な属性のセットを決定します。
2. これらを取得する方法を構成します。
v これらの属性の多くは、標準 HTTP ヘッダーから取得できます。これらの属性を WebSEAL 構成ファイルに構成します。 28ページの『ランタイム・セキュリティー・サービス外部許可サービス』 を参照。
v 一部の属性については、クライアント・サイドの JavaScript が必要になる場合があります。これらの特別な属性を収集するには、属性収集サービスであるRepresentational State Transfer (REST) サービスを使用します。この属性収集サービスには、構成する属性を収集するための、すぐに使用できる JavaScript があります。 34ページの『属性収集サービス』 を参照。
v 標準 HTTP ヘッダーから取得できない上記以外の属性、あるいは属性収集サービスが収集しない属性が必要になる場合があります。このような属性については、属性収集サービスに属性データを提供するカスタム JavaScript を作成します。また、SWF ファイルを使用して、SWF フォーマットをサポートするWeb ブラウザーから情報を収集することもできます。
3. 取得方法に関係なく、すべての属性に対して、重みを構成および設定します。manageRbaRiskProfile コマンドを使用して、属性を構成します。 38ページの『リスク・プロファイルの構成』 を参照。
4. 属性の格納方法を指定します。 40ページの『属性ストレージ』 を参照。
5. ロケーション matcher、IP アドレス matcher、ログイン時刻 matcher などの属性matcher の設定を指定するプロパティーを構成します。 40ページの『属性matcher』 を参照。
リスク・スコア計算リスク・スコアとは、保護リソースにアクセスする要求に関連付けられたリスクを量的に表わす数値です。リスク・スコアは、デバイスを使用しているユーザーが実際に認証されているユーザーであるかについての信頼性レベルを示します。
リスク・スコアは、ユーザーのデバイス・フィンガープリント、セッション・データ、動作パターンなど、指定されたドメインに基づきます。リスクベース・アクセスには、カスタム・ドメイン・プラグインを構成する機能もあります。最終リス
© Copyright IBM Corp. 2012 25
ク・スコアとは、すべてのドメインの集約スコアをいいます。リスク・スコアは、1
から 100 までの尺度で計算されます。ここで、1 はリスクが低いことを示し、100
はリスクが高いことを示します。
次に、リスク・スコア計算のさまざまな側面について説明します。
デバイス・フィンガープリント
デバイス・フィンガープリントには、リスク・スコア計算に必要な情報が含まれています。
デバイス・フィンガープリントは、デバイスから送られる要求に含まれています。この要求は、ポリシー適用ポイント (PEP) を介して送られます。PEP
はユーザー ID や他のキー値ペアなどの属性を使用して、ユーザーを特定します。これらの属性は、デバイス・フィンガープリント情報を表わします。属性には、IP アドレス、ロケーション情報、オペレーティング・システム、Web ブラウザーのタイプとバージョン、画面解像度などの、デバイスでのソフトウェアとハードウェアの設定が含まれています。
リスクベース・アクセスの外部許可サービス (EAS) が要求を受け取ると、これらの属性によって、ユーザーが要求を行ったデバイスが特定されます。
着信デバイス・フィンガープリント
リスクベース・アクセスの EAS は、デバイス・フィンガープリント情報(着信デバイス・フィンガープリントといいます) を含む要求を受け取ります。着信デバイス・フィンガープリントは信頼されておらず、ポリシー決定が行われる前に評価される必要があります。
ユーザーがデバイスから最初にログインを行うときに、着信デバイス・フィンガープリント情報は、ユーザーのデバイスとして登録されます。
登録済みデバイス・フィンガープリント
リスクベース・アクセスには、ユーザーまたは管理者がデバイスに関する情報をデータベースに永続的に格納するためのオプションがあります。格納されたデバイス・フィンガープリントを、登録済みデバイス・フィンガープリントまたは信頼されたデバイス・フィンガープリントといいます。
リスクベース・アクセスでは、各ユーザーに対して複数のデバイス・フィンガープリントを登録できます。リスクベース・アクセスを構成して、1 ユーザーについて登録するデバイス・フィンガープリントの最大数を指定できます。
完全一致
リスクベース・アクセスでは、着信デバイス・フィンガープリントと登録済みデバイス・フィンガープリントを比較します。デバイス・フィンガープリントが一致する度合いに基づいて、リスクベース・アクセスはリスク・スコアを計算します。
一致はパーセンテージで定義されます。例えば、着信デバイス・フィンガープリントと登録済みデバイス・フィンガープリントが互いに完全に一致する場合、一致は 100% になります。リスクベース・アクセスでは、着信デバイス・フィンガープリントを信頼できるものと見なし、リスク・スコアを 0
26 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
(ゼロ) として計算します。ユーザー ID は異なる可能性がありますが、次の条件を満たす場合、デバイス・フィンガープリントは完全一致であると見なされます。
v 両方のデバイス・フィンガープリントに同じ数の属性が含まれている。
v 両方のデバイス・フィンガープリントに同じ属性が含まれている。
v 着信デバイス・フィンガープリントにある各属性の値が、登録済みデバイス・フィンガープリントの対応する属性の値と完全に一致する。
部分一致
着信デバイス・フィンガープリントと登録済みデバイス・フィンガープリントが、完全一致と見なされるための条件を 1 つ以上満たしていない場合があります。リスクベース・アクセスでは、このような一致を、部分的であると見なします。
リスク・スコアは、部分一致のパーセンテージに基づいて計算されます。部分一致 = (完全に一致する属性の数 / 一致しない属性の数) x 100リスク・スコア = 100 - 部分一致
例えば、0% は完全な不一致で、リスク・スコアは 100 になります。着信デバイス・フィンガープリントの 20% のみが登録済みデバイス・フィンガープリントと一致する場合、リスク・スコアは 80 になります。
最終リスク・スコア
着信デバイス・フィンガープリントと登録済みデバイス・フィンガープリントで属性の数が一致しない場合、最終リスク・スコアが導出されます。例えば、以下のシナリオについて考えてみてください。
v 着信デバイス・フィンガープリントには 3 つの属性があり、登録済みデバイス・フィンガープリントには 5 つの属性があります。
v 着信デバイス・フィンガープリントの 3 つのすべての属性の値は、登録済みデバイス・フィンガープリントの対応する属性値と完全に一致します。
このシナリオ例の場合、着信デバイス・フィンガープリントの観点からは、一致は 100% になります。しかし、登録済みデバイス・フィンガープリントの観点からは、一致は 60% にしかなりません。最終リスク・スコアは、2 つのパーセンテージのうち高い方で計算されます。
標準的なリスクベース・アクセスのシナリオでは、単一の着信デバイス・フィンガープリントは、複数の登録済みデバイス・フィンガープリントと突き合わされます。このような場合、最終リスク・スコアは、着信デバイス・フィンガープリントと登録済みデバイス・フィンガープリントのペアの中でリスク・スコアの最も高いものに基づいて計算されます。
属性のリスクの重み
最終リスク・スコアは、属性に割り当てられた重みにも基づいて計算されます。これらの属性の一部は、リスクの観点による重要度に基づいて、他の属性より高い重みづけをして構成されている場合があります。例えば、Web
ブラウザーのバージョン属性は、オペレーティング・システムの属性よりもかなり低い重みづけがされていることがあります。不一致が返される場合、属性に割り当てられた重みに基づいて、リスク・スコアが高くなります。
第 5 章 管理 27
ランタイム・セキュリティー・サービス外部許可サービスリスクベース・アクセスのランタイム・セキュリティー・サービス外部許可サービス (EAS) は、モジュラー許可サービス・プラグインです。EAS がある場合、IBM
Tivoli Access Manager for e-business 許可を、独自の許可モデルへのアドオンとして使用できます。
ランタイム・セキュリティー・サービス EAS は、リスクベース・アクセスにポリシー適用ポイント (PEP) 機能を提供します。WebSEAL 要求の標準許可の一部としてリスクベース・アクセス決定を含むようにランタイム・セキュリティー・サービス EAS を構成できます。WebSEAL は、リスクベース・アクセスによって保護されているリソースへのアクセスに対する許可適用ポイントになります。
ランタイム・セキュリティー・サービス EAS プラグインは、IBM Tivoli Federated
Identity Manager リスクベース・アクセス機能を使用します。EAS について詳しくは、IBM Tivoli Access Manager for e-business バージョン 6.1.1 インフォメーション・センター (http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.itame.doc/welcome.htm) の「Authorization C API デベロッパーズ・リファレンス」を参照してください。 外部許可サービス・プラグイン を検索します。
ランタイム・セキュリティー・サービス EAS は、ポリシー決定ポイント (PDP) に送信する要求を構成します。この PDP は IBM Tivoli Federated Identity Manager です。 PDP から受け取るポリシー決定に基づいて、EAS は以下のいずれかのアクションを実行します。
表 4. ランタイム・セキュリティー・サービス EAS アクセス決定
アクション 説明
許可 保護リソースへのアクセス権限を付与します。
義務を課して許可
ユーザーが 2 次チャレンジで正常に認証された後で、保護リソースへのアクセス権限を付与します。
拒否 保護リソースへのアクセスを拒否します。
PDP によって返されるポリシー決定を適用するには、WebSEAL ランタイム・セキュリティー・サービス EAS を構成する必要があります。
WebSEAL でのランタイム・セキュリティー・サービス外部許可サービスの構成ポリシー決定ポイント (PDP) によって返されるポリシー決定を施行するように、ランタイム・セキュリティー・サービス外部許可サービス (EAS) を構成します。WebSEAL 構成ファイルを更新するには tfimcfg ツールを使用します。
始める前にv リスクベース・アクセスをインストールおよびデプロイします。
v IBM Tivoli Access Manager for e-business バージョン 6.1.1 フィックスパック 6
以降が WebSEAL コンポーネントとともにインストールされていることを確認します。
v tfimcfg.jar ファイルを実行するには、PDJrte を使用して、このツールを起動する JRE を構成します。
28 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v tfimcfg ツールを IBM Security Access Manager WebSEAL バージョン 7.0 以降で使用するには、以下の条件を満たしている必要があります。
– IBM JRE バージョン 6.0 アップデート 10 以降を入手します。
– IBM JRE の $JAVA_HOME/lib/security にある java.security ファイルで、com.ibm.security.cmskeystore.CMSProvider プロバイダーを構成します。
– PDJrte を使用して、このツールを起動する JRE を Security Access Manager
ドメイン内に構成します。
– このツールを実行するには、$JAVA_HOME/bin 内の ikeyman ツールがパス上に存在している必要があります。
v WebSEAL インスタンスが構成されているコンピューター上でツールを実行します。
v WebSEAL 6.1.1 を使用する場合は、ランタイム・セキュリティー・サービスEAS の共有ライブラリーを、リスクベース・アクセスのインストール・ディレクトリーから WebSEAL のインストール・ディレクトリーにコピーします。
例:
AIX システム/opt/IBM/FIM/rba/eas/6.1.1/platform_name/librtsseas.a ファイルを/opt/pdwebrte/lib ディレクトリーにコピーします。
Linux システム/opt/IBM/FIM/rba/eas/6.1.1/platform_name/librtsseas.so ファイルを/opt/pdwebrte/lib ディレクトリーにコピーします。
Windows システムC:¥Program Files¥IBM¥FIM¥rba¥eas¥6.1.1¥WIN¥rtsseas.dll ファイルをC:¥Program Files¥Tivoli¥PDWebrte¥lib ディレクトリーにコピーします。
このタスクについて
tfimcfg ツールにより、それぞれの要求について、正しいデータがランタイム・セキュリティー・サービス EAS に確実に渡されるようになります。
リスクベース・アクセス決定を WebSEAL 要求の標準許可の一部として組み込むには、tfimcfg ツールを使用します。次に、構成ファイルを手動で更新して POP を付加します。以下の手順で、この処理について説明します。
手順1. (オプション) 発行者の証明書を、ランタイム・セキュリティー・サービスをホストする WebSphere Application Server インスタンスから鍵データベース・ファイルにコピーします。このステップは、サーバー・サイド SSL 認証構成の一部です。
このファイルの場所をメモしておいてください。このファイルの場所は、ステップ 2 で tfimcfg ツールを使用する際に、「オプションのランタイム・セキュリティー・サービスの SSL 鍵ファイル」で指定する必要があります。
2. tfimcfg ツールを実行します。
第 5 章 管理 29
以下の tfimcfg 属性を使用します。
v WebSEAL サーバーの場合:
java -jar tfimcfg.jar -action tamconfig -cfgfile WebSEAL_filename
v Web Gateway Appliance サーバーの場合:
java -jar tfimcfg.jar -action wgaconfig -cfgurl Web_Gateway_Appliance_URL
このツールのパラメーターに関する情報は、Federated Identity Manager インフォメーション・センターの「tfimcfg リファレンス」を参照してください。
WebSphere Application Server バージョン 8.0 以降に付属している JRE でtfimcfg を使用すると、エラーが発生することがあります。tfimcfg を使用する際に必要な追加のパラメーターについては、フィックスパック 6 の README
ファイルを参照してください。
このツールを実行すると、以下に示すリスクベース・アクセス固有のプロンプトが表示されるため、注意してください。
a. 「構成する連携」プロンプトが表示された場合は、「リスクベース・アクセス」を選択します。
注: ツールにより、同じ ACL が連携用とリスクベース・アクセス用に構成されます。また、itfim_rba_anyauth ACL が属性収集サービスに付加されます。
b. 以下に示すランタイム・セキュリティー・サービス・パラメーターを指定します。
v ランタイム・セキュリティー・サービスのユーザー
v ランタイム・セキュリティー・サービスのパスワード
v ランタイム・セキュリティー・サービスの URL
v Optional runtime security services SSL keyfile
v オプションのランタイム・セキュリティー・サービスの SSL stash ファイル
v オプションのランタイム・セキュリティー・サービスの SSL 鍵ファイル・ラベル
tfimcfg ツールは、ランタイム・セキュリティー・サービス・サーバーに接続しようとします。接続が正しく構成されていない場合は、パラメーターの再入力画面が表示されます。
サーバー・サイド SSL 認証を構成する場合は、SSL パラメーターを指定してください。
3. POP の rba-pop を、リスクベース・アクセスで保護する必要があるリソースに付加します。 例えば、保護するリソースが MyJct の場合は、以下のコマンドを実行します。
#pdadmin -a sec_masterEnter password: passw0rdpop attach /WebSEAL/localhost-default/MyJct rba-popserver replicatequit
注: リスクベース・アクセスによって保護されるリソースに対してのみ、ランタイム・セキュリティー・サービス EAS が使用されるように、オブジェクト・
30 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ツリーに POP を付加します。リスクベース POP をオブジェクト・スペース内のルート・オブジェクトに付加すると、その POP は管理タスクを含むすべての要求に使用されます。ランタイム・セキュリティー・サービス EAS へのこれらの呼び出しの大部分は必要がなく、パフォーマンス・スループットが低下する原因になる可能性があります。
4. WebSEAL 構成ファイルを更新して [obligations-levels-mapping] スタンザを追加します。その際、PDP が返す義務レベルと WebSEAL における認証レベルとの間のマッピングを指定します。 例えば、以下のようなスタンザを追加します。
[obligations-levels-mapping]otp=3consent=4
詳しくは、IBM Tivoli Access Manager for e-business バージョン 6.1.1 インフォメーション・センターの「WebSEAL 管理ガイド」を参照してください。その際は、「認証レベルの指定」を検索してください。
5. tfimcfg ツールによって [azn-decision-info] スタンザの下に構成された各ヘッダーを調べ、リスクベース・アクセス・データベース内の属性に対応する属性が構成されていることを確認します。エントリー内の等号 (=) の後に指定されている値は、manageRbaRiskProfile コマンドで構成した属性と一致している必要があります。
エントリー内では大文字と小文字が区別されるため、属性の大文字と小文字が、[azn-decision-info] スタンザの下に構成されている対応するエントリーと一致していることを確認してください。ただし、Subject-UUID エントリーは例外です。manageRbaRiskProfile コマンドを使用して cookie:ac.uuid を属性として構成する必要はありません。 Subject-UUID エントリーが必要になるのは、属性収集サービスとランタイム・セキュリティー・サービス EAS を連携させる場合だけです。
詳しくは、IBM Tivoli Access Manager for e-business バージョン 6.1.1 インフォメーション・センターの「WebSEAL 管理ガイド」を参照してください。その際は、「azn-decision-info」を検索してください。
タスクの結果v POP の rba-pop が作成されます。
v ACL の itfim_rba_anyauth が、属性収集サービスに付加されます。
v ランタイム・セキュリティー・サービス EAS が構成されます。
次のタスク
36ページの『属性収集サービスの構成』を参照してください。
ランタイム・セキュリティー・サービス外部許可サービスのサンプル構成データサンプルの [rtss-eas] スタンザには、ポリシー決定を施行するためのランタイム・セキュリティー・サービス外部許可サービス (EAS) の構成詳細が含まれています。webseald-default.conf という名前のデフォルト WebSEAL 構成ファイルの[rtss-eas] スタンザの下に、サンプル・エントリーを追加します。
第 5 章 管理 31
注: 以下のコード内のフォーマット、コメント、および改行は、PDF ファイルからコピーして貼り付けると、変わる可能性があります。コピーして貼り付けたコードを以下のコードと比較して、正しい構文に準拠していることを確認します。
[rtss-eas]# Specify the name of the IBM Tivoli Access Manager for e-business# trace component that the EAS uses
trace-component = pdweb.rtss
# Set this property to true if you want the EAS# to first check with IBM Tivoli Access Manager for e-business# whether the user has permission to access the resource based# on the ACL set.
apply-tam-native-policy = true
# Specify the context-id that is used in the requests that are# sent by the EAS to the runtime security service.# If the context-id parameter is not set, the WebSEAL server-name is used# as the default value.##context-id =## Specify the audit logging configuration. This entry consists# of an agent identifier that is followed by a comma-separated list# of key-value pairs of attributes that are associated with the agent.## For example, to configure the auditing of records to a file:# audit-log-cfg = file path=/tmp/rtss-audit.log,flush=20,# rollover=2000000,buffer_size=8192,queue_size=48# To send audit logs to STDOUT:# audit-log-cfg = STDOUT## If this attribute is missing or not configured, no audit# events are logged.
# audit-log-cfg =
# Specify the name of the runtime security services SOAP cluster# that contains this runtime security services SOAP service.# Also specify a corresponding [rtss-cluster:cluster]# stanza with the definition of the cluster.
cluster-name = cluster1
[rtss-cluster:cluster1]# Specify the definitions for a cluster of runtime security services# SOAP servers in this stanza.
# Define the specifications of the server that you use to communicate# with a single runtime security services SOAP server,# which is a member of this cluster.# Values for this entry are defined as:# {[0-9],}URL# where the first digit (if present) represents the priority of the server# in the cluster (9 being the highest, 0 being lowest). A priority of 9 is assumed# if you do not specify a priority. The URL can be any# well-formed HTTP or HTTPS URL.
# You can specify multiple server entries for failover and load balancing# purposes. The complete set of these server entries defines the# membership of the cluster for failover and load balancing.
server = 9,https://localhost:9443/rtss/authz/services/AuthzService
32 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
# Specify the maximum number of cached handles that are used when# communicating with runtime security services SOAP.
handle-pool-size = 10
# Specify the length of time, in seconds, before an idle handle is removed# from the handle pool cache.
handle-idle-timeout = 240
# Specify the length of time, in seconds, to wait for a response from# runtime security services SOAP.
timeout = 240
# You can use the following optional configuration entries if# the runtime security services SOAP server is configured to require# basic authentication. If you leave these entries blank,# the basic authentication header is not provided when communicating# with the runtime security services SOAP server.
# Specify the name of the user for the basic authentication header.
basic-auth-user =
# Specify the password for the basic authentication header.# Note: To obfuscate the the value of a stanza/key,# use the following pdadmin command:# pdadmin> config modify keyvalue set -obfuscate# config-file stanza key value# For example:# pdadmin> config modify keyvalue set -obfuscate# /opt/pdweb/etc/webseald-default.conf# rtss-eas basic-auth-passwd passw0rd# For more information about obfuscation, see Command Reference in# the IBM Tivoli Access Manager for e-business information center.# Search for config modify in the pdadmin commands section.
basic-auth-passwd =
# The following SSL entries are optional and are only required if:# 1. At least one server entry indicates that SSL is to be used,# that is, it starts with https:)# 2. A certificate other than what is used by this server is required# when communicating with the policy server. The details of the# default certificate can be found in the [ssl] stanza of this# configuration file.# If these entries are required and are not found under this stanza,# the default [ssl] stanza is searched.
# The name of the key database file that houses the client certificate# that must be used.
# ssl-keyfile =
# The name of the password stash file for the key database file.
# ssl-keyfile-stash =
# The label of the client certificate in the key database.
# ssl-keyfile-label =
# This configuration entry specifies the distinguished name (DN) of the# server (obtained from the server SSL certificate) that is accepted.# If no entry is configured all DNs are considered as valid.# Multiple DNs can be specified by including multiple
第 5 章 管理 33
# configuration entries of this name.
# ssl-valid-server-dn =
# This entry controls whether Federal Information Processing# Standard (FIPS) communication is enabled. If no configuration entry# is present, the global FIPS setting (as determined by# the IBM Tivoli Access Manager policy server) takes effect.
# ssl-fips-enabled =
# Define the mappings between the obligation levels that the policy decision# point (PDP) returns and the WebSEAL step-up authentication levels.# The mapping must be one-to-one and the user must be permitted to authenticate# only through the appropriate obligation mechanisms. These entries ensure that the# EAS maps the obligations to the authentication levels and vice versa correctly.
[obligations-levels-mapping]otp=3consent=4
セッション構成属性収集サービスを使用して、ユーザーのセッション属性を収集できます。リスクベース・アクセスは、これらの静的でコンテキストに沿った属性を使用してリスク・スコアを計算します。
属性収集サービス属性収集サービスは、Web ブラウザーとロケーションの情報をユーザーから収集する Representational State Transfer (REST) サービスです。リスク・スコア計算に必要な属性を収集するように、リスクベース・アクセスのランタイム・サービスを構成できます。
プロセスの概要
以下のプロセスでは、属性収集サービスがどのように機能し、それをどのように使用できるかを説明します。
1. データベース内の属性を格納および削除するために RESTful 呼び出しを行います。
2. サービスへの初期要求によって、相関 ID を受け取ります。相関 ID を使用して、さらに REST 呼び出しを行います。
3. JavaScript を使用して、Web ブラウザー属性を収集します。 JavaScript 関数を呼び出す HTML ページは、どのサーバーにも配置できます。
4. Ajax は、ページのロード時間を遅らせることなく、バックグラウンドで収集を行います。
5. 同じドメインに対してのみ、標準 Ajax 要求を行うことができます。Cross
Origin Resource Sharing (CORS) を使用して、ドメイン全体に Ajax 要求を実行できます。
6. CORS 応答ヘッダーには、以下の仕様に対する設定が含まれています。
v 受け入れられる要求の発信元であるサーバー。
v 受け入れられる要求のタイプ。
34 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
7. リスク・スコアを計算するために収集する属性を構成します。
8. 構成された属性は、FIM_install_dir/pages/C/ac/info.js に収集およびリストされます。
要求タイプ
POST データベースに属性セッションを作成します。
DELETE データベースから属性セッションを削除します。
要求は、データベース内でセッションを識別するための相関 ID を使用して行われます。相関 ID は Cookie に格納される UUID です。例えば、POST
/sps/ac/9d37e806-24cf-4398-a3b9-d7f13fb2231f のような POST 要求では、データベース内で 9d37e806-24cf-4398-a3b9-d7f13fb2231f によって識別されるセッションが作成されます。
POST 要求で、セッション属性は要求付きの JSON ストリングとして送信されます。POST 応答では、サーバーによって、相関 ID を含む Cookie が設定されます。また、リスクベース・アクセス・プロパティーを構成して、既存の Cookie を使用することもできます。
リスクベース・アクセスのランタイム・プロパティー
manageRbaConfiguration コマンドを使用して、属性収集サービスに必要なリスクベース・アクセス・プロパティーを構成します。
以下のプロパティーは、受信される要求の発信元であるサーバーと、属性収集サービスのロケーションに関する情報を指定します。
ac.request.server受信される要求の発信元であるサーバー。
例: http://mywebsealhost.company.com。
ac.service.location属性収集サービスのロケーション。
例: http://mywebsealhost.company.com/webseal-junction-name。
以下の構成プロパティーは、REST サービスの GET メソッドにアクセスするために属性収集サービスによって使用されます。
ac.get.attributes.enabledGET メソッドへのアクセスが許可されるかどうかを指定する boolean プロパティー。
デフォルト値は false です。
ac.get.attributes.allowed.clientsGET メソッドへのアクセスが許可される IP アドレスまたはホスト名のコンマ区切りのリスト。
このプロパティーが設定されず、ac.get.attributes.enabled プロパティーが true に設定されている場合は、どのユーザーでも GET メソッドにアクセスできます。
第 5 章 管理 35
このプロパティーが設定されていても、ac.get.attributes.enabled プロパティーが false に設定されていると、このプロパティーは無視されます。
manageRbaConfiguration コマンドを使用して、これらのプロパティーとその値をリスクベース・アクセスのランタイム構成ファイルに設定します。詳しくは、 69ページの『manageRbaConfiguration コマンド』を参照してください。
JavaScript 関数
FIM_install_dir/pages/C/ac/info.js ファイルの JavaScript 関数を使用して、サーバーへの要求を行います。アプリケーションの HTML ログイン・ページにinfo.js JavaScript ファイルを組み込みます。 info.js がロードされると、以下の関数が呼び出されます。
sendSession()
代行サービスに POST 要求を行います。
sendSession() 関数は Web ブラウザー属性を収集し、それらをサーバーに送信して、データベースに格納します。ユーザーがログインするときに、この関数を呼び出します。
deleteSession()
指定した 相関 ID に対して、DELETE 要求を行います。
sendSession() からの POST 要求によって、相関 ID が返されます。相関 ID
に基づいて、deleteSession() 関数はデータベースから属性を削除します。ユーザーがログアウトしたとき、または現在のセッションがタイムアウトになったときに、この関数を呼び出します。
getLocation()要求の作成元であるデバイスのロケーションを検出します。ロケーション情報がサーバーに送信されると、sendSession() 関数の前に getLocation() 関数を呼び出します。以下の Web ブラウザーは、ロケーションの検出をサポートしています。Mozilla Firefox、Google Chrome、Opera、Apple Safari、および Microsoft Internet Explorer 9。
注: JavaScript 関数を Microsoft Internet Explorer で機能させるには、関数を呼び出す HTML ページに以下のステートメントを組み込みます。以下のステートメントにより、Microsoft Internet Explorer は標準モードを使用するように強制されます。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">
構成ステップおよび例については、『属性収集サービスの構成』を参照してください。
属性収集サービスの構成属性収集サービスのサーバーおよびロケーションを指定するプロパティーを構成します。また、リスク計算に必要なセッション属性を収集するための JavaScript ファイルを指定します。
36 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
始める前に
tfimcfg ツールを実行して、ランタイム・セキュリティー・サービス EAS を構成します。 28ページの『WebSEAL でのランタイム・セキュリティー・サービス外部許可サービスの構成』を参照してください。
手順1. ページとプラグインを公開し、Tivoli Federated Identity Manager ランタイム環境をロードするために、以下のコマンドを実行します。
$AdminTask manageRbaConfiguration {-operation reload}
2. 属性収集サービスに必要なリスクベース・アクセス・プロパティーを作成および構成します。
a. 受信される要求の発信元であるサーバーに関する情報を指定するために、ac.request.server プロパティーを作成および構成します。以下のコマンドを実行し、イタリック体 で示されている変数を、使用する値に置き換えます。$AdminTask manageRbaConfiguration {-operation create
-propertyName ac.request.server-propertyValue request_server_url}
以下のコマンドは、プロパティーのサンプル値を示します。$AdminTask manageRbaConfiguration {-operation create
-propertyName ac.request.server-propertyValue https://mywebsealhost.company.com}
注: ac.request.server プロパティーの値は、要求の発信元として許可できるホストのスペース区切りのリストにする必要があります。
b. 属性収集サービスのロケーションを指定するために、ac.service.locationプロパティーを作成および構成します。以下のコマンドを実行し、イタリック体 で示されている変数を、使用する値に置き換えます。$AdminTask manageRbaConfiguration {-operation create
-propertyName ac.service.location-propertyValue https://host_name/webseal-junction-name}
以下のコマンドは、プロパティーのサンプル値を示します。$AdminTask manageRbaConfiguration {-operation create
-propertyName ac.service.location-propertyValue https://mywebsealhost.company.com/FIM}
3. アプリケーションの HTML ランディング・ページを編集し、属性収集サービス用の JavaScript ファイルをロードするためのエントリーを追加します。<head>
ブロックに以下のエントリーを追加して、info.jsファイルの URL を指定します。
<script src="https://host_name/webseal-junction-name/sps/ac/js/info.js"></script>
info.js ファイルがロードされると、セッション属性の収集に必要な関数が呼び出されます。
タスクの結果
リスクベース・アクセスに対応した属性収集サービスの基本構成が完了しました。詳しくは、 34ページの『属性収集サービス』を参照してください。
第 5 章 管理 37
次のタスク
リスク・スコア計算に必要な属性と重みを構成します。 詳しくは、 82ページの『manageRbaRiskProfile コマンド』を参照してください。
リスク・プロファイルの構成リスク属性を作成して、それらの重みを指定する必要があります。また、すぐに使用できる属性 matcher を構成するか、独自のカスタム属性 matcher を作成することもできます。
リスク・プロファイルの構成標準 HTTP ヘッダーから属性を取得したり、属性収集サービスを使用して属性を収集したりすることができます。リスク・スコア計算にこれらの属性を使用するには、各属性に適切な重みを設定する必要があります。
始める前に
以下の構成ステップを実行します。
v 28ページの『WebSEAL でのランタイム・セキュリティー・サービス外部許可サービスの構成』
v 36ページの『属性収集サービスの構成』
このタスクについて
manageRbaRiskProfile コマンドを使用して属性を作成し、リスク・スコア計算に必要な属性に重みを構成します。
手順1. 属性を作成して、ランタイム・セキュリティー・サービスの外部許可サービス
(EAS) に対応した webseald-default.conf という名前の WebSEAL 構成ファイルに構成した属性に重みを指定します。構成する属性は、[azn-decision-info]スタンザに追加したエントリーのサブセットである必要があります。
以下の例を使用して、標準 HTTP ヘッダーから取り込まれる属性を構成します。
$AdminTask manageRbaRiskProfile {-operation create-attributeId header:user-agent-weight 75}
$AdminTask manageRbaRiskProfile {-operation create-attributeId header:content-type-weight 50}
$AdminTask manageRbaRiskProfile {-operation create-attributeId header:accept-charset-weight 80}
2. 属性収集サービスで取得する属性を作成し、その属性に重みを指定します。
以下の例を使用して、属性と重みを構成します。
$AdminTask manageRbaRiskProfile {-operation create -attributeId language-weight 95}
$AdminTask manageRbaRiskProfile {-operation create -attributeId platform-weight 60}
38 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
$AdminTask manageRbaRiskProfile {-operation create -attributeId plugins-weight 25}
$AdminTask manageRbaRiskProfile {-operation create -attributeId fonts-weight 80}
注: fonts 属性を構成する場合は、fcollector.swf SWF オブジェクトをアプリケーションのログイン・ページ (WebSEAL login.html ページなど) に追加する必要もあります。ログイン・ページの BODY エレメントの最後、</BODY> 終了タグのすぐ前に、以下のオブジェクト要素を追加します。イタリック体で示されている変数 を、使用する値に置き換えます。<object width="1" height="1">
<param name="movie" value="https://host_name/webseal_junction_name/sps/ac/js/fcollector.swf"><embed src="https://host_name/webseal_junction_name/sps/ac/js/fcollector.swf" width="1" height="1"></embed>
</object>
例:
<object width="1" height="1"><param name="movie" value="https://myservicehost.company.com/FIM/sps/ac/js/fcollector.swf"><embed src="https://myservicehost.company.com/FIM/sps/ac/js/fcollector.swf" width="1" height="1"></embed>
</object>
3. オプション: ロケーション、IP アドレス、またはログイン時刻に基づいたリスクベース・アクセスを有効にするために、以下の追加属性を構成できます。これらの属性は、リスクベース・アクセスで提供されている、すぐに使用できるmatcher に必要です。詳しくは、 40ページの『属性 matcher』を参照してください。
以下の例を使用して、指定された属性 matcher の属性を構成します。
ロケーション matcher$AdminTask manageRbaRiskProfile {-operation create
-attributeId longitude -weight 75}$AdminTask manageRbaRiskProfile {-operation create
-attributeId latitude -weight 75}$AdminTask manageRbaRiskProfile {-operation create
-attributeId accuracy -weight 75}
IP アドレス matcher$AdminTask manageRbaRiskProfile {-operation create
-attributeId ipaddress -weight 50}
ログイン時刻 matcher$AdminTask manageRbaRiskProfile {-operation create
-attributeId accessTime -weight 45 –behavior true}$AdminTask manageRbaRiskProfile {-operation create
-attributeId urn:oasis:names:tc:xacml:1.0:resource:resource-id-weight 0 –behavior true}
$AdminTask manageRbaRiskProfile {-operation create-attributeId cookie:ac.uuid -weight 0 –behavior true}
次のタスク1. 以下の属性 matcher に必要な特定のプロパティーを構成します。
v IP アドレス matcher
v ロケーション matcher
v ログイン時刻 matcher
2. リスクベース・アクセス・ポリシーを作成および構成します。以下の方法のいずれかを使用します。
第 5 章 管理 39
v 許可ポリシー生成言語を使用して、スクリプトにポリシー・ルールを指定します。許可ポリシー生成言語の、すぐに使用できるサンプル・スクリプトによって、エンドツーエンドの機能ポリシーに関する基本ルールが提供されます。このスクリプトを使用して、リスクベース・アクセス・ポリシーを作成し、リスクベース・アクセスとともに使用できるように構成します。
v IBM Tivoli Security Policy Manager の既存ユーザーであれば、リスクベース・アクセス・ポリシーを管理するためのポリシー管理ポイントとして、引き続きこれを使用することができます。詳しくは、 52ページの『IBM Tivoli
Security Policy Manager を使用したポリシー管理』を参照してください。
属性ストレージリスクベース・アクセスでは、ユーザーのデバイス・フィンガープリント、動作、およびセッション属性を使用して、リスク・スコアを計算します。これらの属性は、リスクベース・アクセス・データベースに存続または格納されます。
デバイス・フィンガープリント・データデバイスが登録されるときに格納される属性で構成されています。着信デバイス・フィンガープリントは、信頼されたデバイス・フィンガープリントの、この格納されているリポジトリーに対して比較されます。
セッション・データセッションがタイムアウトになるまで一時的に格納されている、ユーザーのセッション属性で構成されています。ただし、デバイスが登録されると、セッション属性もデバイス・フィンガープリントの一部として格納されます。
動作データデータベースに格納され、動作ベースの属性の突き合わせに使用される履歴データ。例えば、過去 3 カ月間のユーザーのログイン・タイム・スタンプです。
manageRbaRiskProfile コマンドを使用して属性を構成するときに、リスクベース・アクセス・データベースに各属性がどのように格納される必要があるかを指定することもできます。属性を、デバイス・フィンガープリント、セッション、または動作の各属性として格納するには、-device、-session、および -behavior パラメーターを使用します。
例えば、browser 属性を動作データとして格納する場合、以下のコマンドを実行します。
$AdminTask manageRbaRiskProfile {-operation create -attributeId browser-weight 75 –behavior true}
詳しくは、 82ページの『manageRbaRiskProfile コマンド』を参照してください。
属性 matcher属性 matcher は着信デバイス・フィンガープリント内の指定された属性の値と、ユーザーの既存デバイス・フィンガープリントを比較します。リスクベース・アクセスは、属性 matcher によって返された情報を使用してリスク・スコアを計算します。
40 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
完全一致 matcher は、デフォルトの属性 matcher です。これは、ユーザーが属性matcher を構成しない場合に使用されます。単一の属性の値が着信デバイス・フィンガープリントと既存デバイス・フィンガープリントの両方で同一であるかどうかをチェックします。
場合によっては、複数の属性または複合属性のセットを突き合わせる必要があります。例えば、経度、緯度、および精度は、ロケーションに関連する 3 つの属性です。 2 つのロケーション・ポイント間の距離が指定されたしきい値以下である場合に、2 つのデバイス・フィンガープリントは一致と見なされると想定します。この場合、経度属性のみの比較では正確な結果は得られません。 matcher は、両方のフィンガープリントからの複数の属性を突き合わせる場合、より複雑な比較または複合比較を行う必要があります。
matcher によって、一致する結果か不一致の結果のいずれかが返されます。不一致が返される場合、属性に割り当てられた重みに基づいて、リスク・スコアが高くなります。
以下の場合、matcher はリスク計算の一部ではなくなる可能性があります。
v 着信デバイス・フィンガープリントに必要な属性が含まれていない場合。
v matcher による一致または不一致の決定に、履歴データを使用できない場合。
リスクベース・アクセスでは、複合属性の比較や属性値の範囲の分析を行う、すぐに使用できる属性 matcher が提供されます。以下のセクションで説明されている、1
つ以上の属性 matcher を構成できます。
ロケーション matcher の構成:
ロケーション matcher は、デバイスの以前の既知ロケーションから特定の距離内にデバイスのロケーションがあるかどうかをチェックします。精度の範囲とロケーション情報の比較方法を指定するように、ロケーション matcher プロパティーを構成します。
このタスクについて
手順
1. 経度、緯度、および 精度 の各属性をフィンガープリント構成に追加して、必要な重みに数値を指定します。 manageRbaRiskProfile コマンドに以下の構文を使用します。
$AdminTask manageRbaRiskProfile {-operation create -attributeId unique_ID-weight weight}
制限: ロケーション属性の取得は、Web ブラウザーと、Web ブラウザーにユーザーが指定する設定によって異なります。 Web ブラウザーで地理位置情報 API
がサポートされている必要があります。また、一部の Web ブラウザーでは、ユーザーが有線インターネット接続を使用するデバイスから保護リソースにアクセスしようとすると、エラーが発生する可能性があります。
注: ロケーション・ベースの分析では、ロケーションの一致が判別されると、3
つのロケーション属性 (経度、緯度、および精度) すべてが処理されます。重み
第 5 章 管理 41
は 3 つの属性すべてに割り当てられますが、経度属性の重みのみが考慮されます。サポートしている緯度属性と精度属性に割り当てられている重みは無視されます。
2. 以下のリスクベース・アクセス・プロパティーをロケーション matcher に構成します。
location.comparison属性 matcher によるロケーション座標の精度範囲の計算方法を示します。
プロパティーを以下の値のいずれかに設定します。
v 2 つのロケーションの精度の範囲にある最も近いポイント間の距離を計算するには、closest として値を指定します。この計算が、最も制限の多い計算です。
v 精度を考慮せずに、円の中心点の間の距離を計算するには、midpoint
として値を指定します。
v 2 つのロケーションの精度の範囲にある最も遠いポイント間の距離を計算するには、farthest として値を指定します。この計算が、最も制限の少ない計算です。
以下の図は、2 つのロケーションの精度の範囲における最も近いポイント、中間ポイント、および最も遠いポイントを示しています。この図では、円が精度の範囲を表し、円の中心がロケーションを表しています。
図 3. 2 つのロケーションの精度の範囲における最も近いポイント、中間ポイント、および最も遠いポイント
42 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
location.allowable.distance新しいロケーションと過去のロケーションとの間の最大距離。数値の単位はキロメートルです。
デフォルト値は、40 です。
manageRbaConfiguration コマンドに以下の構文を使用して、これらのプロパティーを構成します。
$AdminTask manageRbaConfiguration {-operation create -propertyName property_name-propertyValue property_value}
例
以下の例は、ロケーション matcher に対するリスクベース・アクセス・プロパティーの構成方法を示しています。
$AdminTask manageRbaConfiguration {-operation create-propertyName location.comparison -propertyValue midpoint}
$AdminTask manageRbaConfiguration {-operation create-propertyName location.allowable.distance -propertyValue 100}
IP アドレス matcher の構成:
IP アドレス matcher は、IP アドレスのホワイト・リスト (包含リスト) またはブラック・リスト (除外リスト) と、デバイスの履歴 IP アドレスを比較します。 IP アドレス・リストを指定するプロパティーを構成します。
手順
1. ipaddress 属性をフィンガープリント構成に追加して、必要な重みに数値を指定します。 manageRbaRiskProfile コマンドに以下の構文を使用します。
$AdminTask manageRbaRiskProfile {-operation create -attributeId unique_ID-weight weight}
2. IP アドレス matcher に以下のリスクベース・アクセス・プロパティーを構成します。
ip.whitelist許可する IP アドレスまたはサブネットのコンマ区切りのリスト。
ip.whitelist.netmaskip.whitelist プロパティーにリストした IP アドレスのコンマ区切りのネットマスクのリスト。IP アドレスのリストを指定した順番と同じ順番でネットマスクのリストを指定します。ネットマスクの合計数は、IP アドレスの合計数と正確に一致する必要があります。
ip.blacklist許可しない IP アドレスのコンマ区切りのリスト。
ip.blacklist.netmaskip.blacklist プロパティーにリストした IP アドレスのコンマ区切りのネットマスクのリスト。IP アドレスのリストを指定した順番と同じ順番でネットマスクのリストを指定します。ネットマスクの合計数は、IP アドレスの合計数と正確に一致する必要があります。
manageRbaConfiguration コマンドに以下の構文を使用して、これらのプロパティーを構成します。
第 5 章 管理 43
$AdminTask manageRbaConfiguration {-operation create -propertyName property_name-propertyValue property_value}
例
これらの例を使用して、IP アドレス matcher にリスクベース・アクセス・プロパティーを構成します。
以下の構成では、9.5 で始まる IP アドレスを除く、9.0.0.0 サブネット内のすべての IP アドレスから行われる要求が許可されます。
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.whitelist -propertyValue 9.0.0.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.whitelist.netmask -propertyValue 255.0.0.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist -propertyValue 9.5.0.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist.netmask -propertyValue 255.255.0.0}
着信 IP アドレスと、デバイスの以前の IP アドレスを比較するために、ip.whitelist 値と ip.whitelist.netmask 値の数字に X を使用してアドレスを追加します。
以下の構成では、9.5.0.0 サブネットからの要求を除く、9.0.0.0 サブネットから行われた要求が許可されます。この構成では、最初の 3 つの数字が履歴デバイス・フィンガープリントと同じである IP アドレスからの要求も許可されます。
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.whitelist-propertyValue 9.0.0.0, X.X.X.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.whitelist.netmask-propertyValue 255.0.0.0, 255.255.255.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist-propertyValue 9.5.0.0}
$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist.netmask-propertyValue 255.255.0.0}
ログイン時刻 matcher の構成:
ログイン時刻 matcher は、ユーザーの履歴ログイン時刻データと、ユーザーの現在のログイン時刻を比較して分析します。ログイン時刻の分析に必要な属性とプロパティーを構成する必要があります。ログイン時刻 matcher は、accessTime という属性に基づいてセッションあたりのログイン数を主に検出します。一定のセッション内に取り込まれる初めの数回のアクセス時刻は、ユーザーのログイン時刻であると見なされます。分析の結果によって、不正なユーザーの可能性が判別されます。
手順
1. manageRbaRiskProfile コマンドを使用して、以下の属性を構成し、それらの重みを指定します。
v 必要な重みが指定された accessTime 属性。
v 重みとして 0 が指定されたurn:oasis:names:tc:xacml:1.0:resource:resource-id 属性。
v 重みとして 0 が指定された cookie:ac.uuid 属性。
44 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
以下に例を示します。
$AdminTask manageRbaRiskProfile {-operation create-attributeId accessTime -weight weight –behavior true}
$AdminTask manageRbaRiskProfile {-operation create-attributeId urn:oasis:names:tc:xacml:1.0:resource:resource-id-weight 0 –behavior true}
$AdminTask manageRbaRiskProfile {-operation create-attributeId cookie:ac.uuid -weight 0 –behavior true}
注: cookie:ac.uuid プロパティーにより、ログイン時刻 matcher が、取り込まれるアクセス時刻のセッション境界を認識できるようになります。ac.uuid 以外の値を ac.uuid 構成プロパティーに指定した場合、 cookie:ac.uuid の代わりに、その値を属性名として使用する必要があります。例えば、ac.uuid をac_cookie_name に設定した場合、以下のコマンドを指定する必要があります。
$AdminTask manageRbaRiskProfile {-operation create-attributeId cookie:ac_cookie_name -weight 0 –behavior true}
2. manageRbaRiskProfile コマンドに以下の構文を使用します。
$AdminTask manageRbaRiskProfile {-operation create -attributeId unique_ID-weight weight}
3. ログイン時刻 matcher に以下のリスクベース・アクセス・プロパティーを構成します。
login.time.probability.threshold数値で示されたログインの可能性。有効な値は 0 から 1 です。
login.time.probability.threshold プロパティーの値は、ユーザーが特定の時刻にログインしている可能性を表します。デフォルト値は .3 です。この値は、前のログイン時刻のおよそ 1 時間以内にユーザーがログインする可能性を示します。低い値を設定すると、matcher が True を返す可能性が高くなり、リスク・スコアは低くなります。高い値を設定すると、matcher が True を返す可能性が低くなり、リスク・スコアは高くなります。例えば、値 .5 を設定すると、matcher はほとんどの場合、False を返します。
ログイン時刻分析では、リスク・スコア計算に入力データを提供する前に、8 つのログイン時刻のデータが収集されます。
manageRbaConfiguration コマンドに以下の構文を使用して、これらのプロパティーを構成します。
$AdminTask manageRbaConfiguration {-operation create -propertyName property_name-propertyValue property_value}
例
以下の例は、ログイン時刻 matcher に対してリスクベース・アクセス・プロパティーを構成する方法を示しています。
$AdminTask manageRbaConfiguration {-operation create-propertyName login.time.probability.threshold-propertyValue 1}
カスタム属性 matcher の実装:
第 5 章 管理 45
リスクベース・アクセスでは、JavaScriptMatcher という名前の、すぐに使用できるカスタム matcher を実装できます。この実装を使用して、カスタム matcher 用に作成した JavaScript ファイルを実行できます。
このタスクについて
カスタム matcher には複数の JavaScript ファイルを使用できます。ただし、複数のスクリプトで同じ属性が処理されないようにしてください。 JavaScript ファイルが、指定された属性を正常に処理して結果を返した後、残りの JavaScript ファイルはその属性に対して評価されません。ファイルの処理シーケンスは定義されていないため、属性を処理した JavaScript を特定できない場合があります。
以下のステップで、カスタム JavaScript matcher ファイルがどのように処理されるかを説明します。
1. リスク・エンジンがランタイム・セキュリティー・サービス・コンテナーからmatcher をロードすると、JavaScriptMatcher も OSGi レジストリーからロードされます。
2. インスタンス生成後、WAS_PROFILE_HOME/config/itfim/rba/javascript/
matchers/ ディレクトリー内のすべての JavaScript ファイルが、コンパイル済みの JavaScript オブジェクトとして JavaScriptMatcher のキャッシュにロードされます。
3. リスク計算機が呼び出され、リスクが計算されると、javascript.attributes ランタイム・プロパティーの一部として指定された属性が JavaScriptMatcher に送信されて処理されます。
4. JavaScriptMatcher は、指定されたディレクトリー内の JavaScript ファイルを評価します。
5. JavaScript ファイルが processed=true を返して属性を処理した場合、それ以降の処理は停止されます。
6. リスク・エンジンに結果が返されます。
7. いずれの JavaScript ファイルも processed=true を返さない場合、突き合わせに関するリスクベース・アクセスのデフォルト論理が使用されます。
手順
1. 必要な JavaScript コードをファイルに書き込みます。 各 JavaScript ファイルで、以下の 2 つの関数を定義する必要があります。
v supportsAttribute()
v match()
また、以下のオプション関数を指定することもできます。
v init()
v destroy()
リスク計算機によって、以下のパラメーターが JavaScript ファイルに渡されます。
IFingerprint sourceデータベースからの既存のデバイス・フィンガープリント。
46 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
IFingerprint target現在のログイン・セッションからのデバイス・フィンガープリント。
String attributeName突き合わせる必要がある属性。
boolean processedJavaScript が現在の属性を処理したかどうかを示します。このパラメーターが渡された場合は false に設定されますが、スクリプトによって属性が処理された場合は true に設定する必要があります。
string matchedmatcher によって返される結果です。有効値は MATCHED、MISMATCHED、および INDIFFERENT です。
2. ファイルを以下のディレクトリーに配置します。 WAS_PROFILE_HOME/config/
itfim/rba/javascript/matchers/。
3. リスクベース・アクセスによって JavaScriptMatcher 拡張がロードされた場合、WebSphere Application Server を再始動して、JavaScript をロードします。
例
以下の例は、カスタム・コードの作成に使用できる example_matcher1.js という名前の JavaScript ファイルです。if(attributeName.equals(attribute this matcher supports)) {
processed = true;// attribute comparison codematched = "MATCHED"; //Return MATCHED, MISMATCHED or INDETERMINATE according to the custom logic.
}
属性ストレージのためのハッシュ・アルゴリズムの構成ハッシュは、比較のために文字列を固定長ビット文字列としてエンコードします。デフォルトで、リスクベース・アクセスは特定の属性をハッシュします。ハッシュ・アルゴリズムを変更して、ハッシュする追加属性を指定することができます。
このタスクについて
デフォルトで、属性がリスクベース・アクセス・データベースに格納されている場合、スキーマに準じた最大長を超える属性はハッシュされます。また、ハッシュされる必要のある他の属性を指定することもできます。例えば、機密または非公開と見なされている値をハッシュすることができます。
これらの属性を格納するためにリスクベース・アクセスによって使用されるデフォルトのハッシュ・アルゴリズムは SHA256 です。Java セキュリティーがサポートする他のどのハッシュ・アルゴリズムも指定できます。
手順1. manageRbaConfiguration コマンドを使用して、使用するハッシュ・アルゴリズムの名前を指定します。
例:
$AdminTask manageRbaConfiguration {-operation create-propertyName attributes.hash.algorithm-propertyValue SHA256}
第 5 章 管理 47
2. ハッシュを有効にする追加属性を指定します。 manageRbaConfiguration コマンドを使用して、コンマ区切りの属性リストを指定します。
以下に例を示します。
$AdminTask {manageRbaConfiguration -operation create-propertyName attributes.hash.enabled-propertyValue header:user-agent,fonts,plugins}
ポリシー管理許可ポリシー生成言語を使用して、ポリシー・ルールを作成します。リスクベース・アクセスに関するこれらのルールに基づいて、許可ポリシーを作成および構成できます。
注: IBM Tivoli Security Policy Manager の既存ユーザーであれば、リスクベース・アクセス・ポリシーを管理するためのポリシー管理ポイントとして、引き続きこれを使用することができます。 IBM Tivoli Security Policy Manager を使用してリスクベース・アクセス・ポリシーを作成することも、既存のリスクベース・アクセス・ポリシーをインポートすることもできます。
許可ポリシー生成言語許可ポリシー生成言語は、スクリプトにポリシー・ルールを指定するのに役立つ簡略化されたフォーマットです。このスクリプトを使用して、リスクベース・アクセスの許可ポリシーを作成および構成できます。
任意のテキスト・エディターを使用して、スクリプトを作成します。このスクリプトは、以下の主要な部分で構成されます。
v 『ポリシー』
v 49ページの『ルール』
v 49ページの『変数』
v 50ページの『論理』
51ページの『リスクベース・アクセスのポリシー・ルールのサンプル・スクリプト』を参照してください。
ポリシー
すべての許可ポリシーには最外部に Policy ブロックがあり、ここにはポリシーのプロパティーおよびルールを指定する必要があります。許可ポリシー生成言語でPolicy ブロックを使用し、1 つ以上のポリシーを含むポリシー・セットをポリシー・ファイルに作成します。
Policy ブロックに以下のプロパティーを指定します。
名前 ポリシーの名前。
WebSEAL を使用する Web 環境の IBM Tivoli Access Manager for
e-business では、ポリシー名は WebSEAL 構成ファイルに指定されているサーバー名と一致する必要があります。例えば、localhost-default です。
48 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ルール
ポリシー・ルールを Rule ブロックに定義します。これは、Policy ブロックにあります。 Rule ブロックには、以下のプロパティーが含まれている必要があります。
名前 ルールの名前。
ターゲットルールの適用範囲のサブジェクト、アクション、およびリソース。
サブジェクトルールが適用されるユーザー、グループ、または役割。
ログインしようとしているすべてのユーザーにルールが適用されるように指定するには、値 any を使用します。
ユーザー、グループ、または役割を指定するには、以下のコンマ区切りのリスト形式を使用します。
Subject = {user: username1, username2, . . .group: groupname1, groupname2, . . .role: rolename1, rolename2, . . .}
サブジェクト・ブロックには、少なくとも 1 つのユーザー、グループ、または役割が含まれている必要があります。
アクションルールが適用されるリソースに許可されるアクション。
any、特定のアクション、またはアクションのコンマ区切りのリストとして値を指定します。
リソースルールが適用される 1 つ以上のリソース。
any、特定のリソース、または複数のリソースのコンマ区切りのリストとして値を指定します。
変数
変数は、ルール論理の直前に定義されます。
以下の構文を使用して、変数を定義します。resource|action|subject|environment integer|double|date|time variable_name
変数は、3 つのパートに分かれています。
v 変数が出される要求の部分。有効な値は、resource、action、subject、およびenvironment です。
v 変数のデータ型。有効な値は、integer、double、date、および time です。
v 変数の名前。有効な値は英数字および下線です。変数名は英字または下線で始まる必要があります。
例えば、action integer Risk は、要求の action 部分にある Risk という名前のinteger を宣言します。
第 5 章 管理 49
論理
名前、ターゲット、および変数を定義した後、一連の if-else ステートメントとしてルールの論理を定義する必要があります。
if ステートメントと else ステートメントはそれぞれ別々のルールに対応します。
以下の表には、許可ポリシー生成言語に使用できる論理演算子がリストされています。
表 5. 論理演算子のリスト
論理演算子 記号
および &
または |
比較演算子 記号
より大きい >
より小さい <
以上 >=
以下 <=
等しい ==
等しくない !=
2 つの値を比較するときは、それらのデータ型が同じであることを確認します。同じでない場合は、エラーが発生します。
if-else ステートメントの結果は、以下のいずれかの決定になります。
permit 要求の受け渡しが許可されます。
deny 要求は拒否され、受け渡しは許可されません。
permit-with-obligation要求の受け渡しが許可されるには、ユーザーによって何らかの処置が行われる必要があります。
義務のブロックでは、Uniform Resource Locator (URL) または Uniform
Resource Name (URN) の名前を宣言します。URL または URN は、要求が許可されるために実行されなければならない事柄を指定する必要があります。
任意指定: 一連の属性を定義することもできます。各属性には、名前、タイプ、および値が必要であり、これらは義務とともに返されます。名前とタイプは URL または URN である必要があります。
以下の例は、義務の宣言の形式を示しています。
permit obligation {name=urn:oasis:names:tc:xacml:example:obligation:emailattribute {
name=xyztype=http://www.w3.org/2001/XMLSchema#stringvalue=qwerty
}}
50 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ポリシー・ルールを使用してスクリプトを作成すると、スクリプトを使用してリスクベース・アクセス・ポリシーを作成できます。
リスクベース・アクセスのポリシー・ルールのサンプル・スクリプト
許可ポリシー生成言語でスクリプトを作成し、このスクリプトを使用してリスクベース・アクセス・ポリシーを生成します。すぐに使用できるサンプル・スクリプトによって、エンドツーエンド機能ポリシーに必要な基本ルールが定義されます。
サンプル・スクリプトには、次のポリシー・ルールが含まれています。
v 例えば、そのユーザーについて登録されているデバイスがなく、認証レベルが 3
の場合、当該ユーザーの最初のログイン時には、以下のようになります。
– デバイスをサイレントに登録します。
– 2 次チャレンジに正常に応答した後、そのユーザーによるリソースへのアクセスを許可します。
v そのユーザーについて登録されているデバイスが 1 つ以上あり、認証レベルが 3
の場合、リソースへのアクセスが許可されます。
v リスク・スコアが 40 以下の場合、リソースへのアクセスは許可されます。
v リスク・スコアが 40 を超える場合、2 次チャレンジにユーザーが正常に応答した後、リソースへのアクセスが許可されます。
Policy {name = localhost-default
Rule {name = RBADemoApplicationPolicyRule1
Target {subject = anyaction = anyresource = any
}
resource integer http://security.ibm.com/attributes/resource/riskScoresubject integer http://security.ibm.com/attributes/subject/registeredDeviceCountsubject string AUTHENTICATION_LEVEL
if http://security.ibm.com/attributes/subject/registeredDeviceCount == 0 & AUTHENTICATION_LEVEL == "3"permit obligation {
name=http://security.ibm.com/obligations/registerDevice}
if http://security.ibm.com/attributes/subject/registeredDeviceCount >= 1 & AUTHENTICATION_LEVEL == "3"permit
if http://security.ibm.com/attributes/resource/riskScore <= 40 & AUTHENTICATION_LEVEL == "1"permit
if http://security.ibm.com/attributes/resource/riskScore > 40 & AUTHENTICATION_LEVEL == "1"permit obligation {
name=otp}
}}
スクリプト・エレメントについて詳しくは、 48ページの『許可ポリシー生成言語』を参照してください。ポリシー・ルール・スクリプトを使用して、リスクベース・アクセス・ポリシーを作成します。
リスクベース・アクセス・ポリシーの作成ポリシー・ルールを指定するスクリプトを作成した後に、リスクベース・アクセスの許可ポリシーを作成および構成する必要があります。
第 5 章 管理 51
手順1. manageRbaConfiguration コマンドを使用して、ランタイム・セキュリティー・サービスを構成します。プロパティーを作成するために以下のコマンドを実行し、イタリック体 で示されているサンプル値を、必要な値に置き換えます。
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.pwd-propertyValue passw0rd}
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.username-propertyValue wasadmin}
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.port-propertyValue 9080}
$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.ws.host-propertyValue localhost}
2. ポリシー生成言語を使用して、ポリシー・ルールを指定するスクリプトを作成します。詳しくは、 48ページの『許可ポリシー生成言語』を参照してください。
3. manageRbaPolicy コマンドを使用して、ポリシーを作成します。 policyFile パラメーターの値として、スクリプト・ファイルのパスとファイル名を指定します。
以下に例を示します。
$AdminTask manageRbaPolicy {-operation create -policyFile /tmp/rbapolicy}
注: ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy
Manager を使用してポリシー管理ポイントとして構成されている場合、manageRbaPolicy コマンドを使用してリスクベース・アクセス・ポリシーを管理することはできません。詳しくは、『IBM Tivoli Security Policy Manager を使用したポリシー管理』を参照してください。
タスクの結果
出力は、スクリプトに指定したルールに基づいた許可ポリシー・ファイルです。これで、許可ポリシー・ファイルを使用するようにリスクベース・アクセスが構成されました。
次のタスク
リスクベース・アクセスのログとトレースを有効にします。
IBM Tivoli Security Policy Manager を使用したポリシー管理ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager を使用して構成されている場合、これをポリシー管理ポイント (PAP) として使用することで、リスクベース・アクセス・ポリシーを管理できます。
まず、リスクベース・アクセスのポリシー管理用に IBM Tivoli Security Policy
Manager を構成する必要があります。
その後であれば、IBM Tivoli Security Policy Manager を使用してリスクベース・アクセス・ポリシーを作成するか、既存のリスクベース・アクセス・ポリシーをインポートすることができます。
52 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
注: ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager
を使用してポリシー管理ポイントとして構成されている場合、manageRbaPolicy コマンドを使用してリスクベース・アクセス・ポリシーを管理することはできません。
IBM Tivoli Security Policy Manager を使用したポリシーの作成および管理について詳しくは、以下を参照してください。
v IBM Tivoli Security Policy Manager バージョン 7.1 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html)
v IBM Tivoli Security Policy Manager Wiki (https://www.ibm.com/developerworks/
wikis/display/tivolisecuritypolicymanager/Home)
IBM Tivoli Security Policy Manager でのリスクベース・アクセスの使用可能化ポリシーを作成および管理する前に、リスクベース・アクセスのポリシー情報ポイント (PIP) を構成して、必要なサービス、義務、およびルール・パラメーターを作成する必要があります。
始める前に
リスクベース・アクセスをインストールおよびデプロイします。
注: リスクベース・アクセスをデプロイすると、deploy 操作によって、ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager で構成されていることが検出されます。ランタイム・セキュリティー・サービスの既存のインスタンスは上書きされません。 IBM Tivoli Federated Identity Manager のランタイム・セキュリティー・サービスと IBM Tivoli Security Policy Manager のランタイム・セキュリティー・サービスは、リスクベース・アクセスについて同じWebSphere Application Server プロファイルを共有する必要があります。
手順1. ランタイム・セキュリティー・サービス・サーバーがポリシー配布ターゲット
(PDT) として登録されていることを確認します。詳しくは、IBM Tivoli Security
Policy Manager バージョン 7.1 インフォメーション・センター(http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html) の「設定ガイド」を参照してください。 ランタイム・セキュリティー・サービス・サーバーの登録 で検索してください。
2. IBM Tivoli Security Policy Manager でリスクベース・アクセスの PIP を使用可能にします。
a. IBM Tivoli Security Policy Manager がインストールされている WebSphere
Application Server インスタンスを停止します。
b. PIP を構成するには、WAS_profiles_dir/config/cells/cell_name/rtss ディレクトリーの security-services.xmi ファイルを変更します。次の情報を<subComponents name="AttributeRetrievalServices"> セクションに追加します。<subComponents name="AttributeRetrievalServices">
<items name="RBA AttributeSession PIP"><properties>
第 5 章 管理 53
<values name="return.section" value="Resource" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.AttributeSessionPIP"
type="java.lang.String"/><values name="enabled" value="true" type="java.lang.String"/>
</properties></items><items name="RBA RiskCalculator PIP">
<properties><values name="return.section" value="Resource" type="java.lang.String"/><values name="return.attributeId" value="risk.score" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.RiskCalculatorPIP"
type="java.lang.String"/><values name="enabled" value="true" type="java.lang.String"/>
</properties></items><items name="USER FINGERPRINT COUNT PIP">
<properties><values name="return.section" value="Resource" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.UserFingerprintsCountPIP"
type="java.lang.String"/><values name="enabled" value="true" type="java.lang.String"/>
</properties></items>
</subComponents>
security-services.xmi ファイルを編集する前に行う必要のある予防措置について詳しくは、IBM Tivoli Security Policy Manager バージョン 7.1 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.tspm.doc_7.1/welcome.html) の「設定ガイド」を参照してください。security-services.xmi ファイル で検索してください。
c. 参考用に、更新したこの security-services.xmi ファイルのコピーを保存します。
d. IBM Tivoli Security Policy Manager または WebSphere Application Server を再始動します。
e. security-services.xmi ファイルをチェックして、行った変更がまだ存在することを確認します。また、WebSphere Application Server サーバー・ログ・ファイルもチェックして、PIP プラグイン JAR ファイルが正常にロードされていることも確認します。
3. リスクベース・アクセス・ポリシーの属性に必要なルール・パラメーターを追加します。
リスクベース・アクセス・ポリシーに固有となっている、以下の事前定義ルール・パラメーターは、IBM Tivoli Security Policy Manager、バージョン 7.1 のフィックスパック 4 以降で提供されています。
IBM Security risk scoreリスクベース・アクセス RiskCalculatorPIP によって計算されるリスク・スコア。このポリシー情報ポイント (PIP) は、着信要求に関連付けられたリスクを計算します。
IBM Security registered device countリスクベース・アクセス UserFingerprintCountPIP によって計算されるデバイス数。この PIP では、特定のユーザー ID について、リスクベース・アクセス・データベースに登録されたデバイスの数が計算されます。
a. 事前定義ルール・パラメーターを使用可能にするには、必要な Java アーカイブ (JAR) ファイルを以下の場所からコピーします。
TSPM_install_dir/rba/com.ibm.tspm.osgi.policy.rba.attributes_7.1.0.jar
54 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
IBM Tivoli Security Policy Manager がインストールされている、以下のWebSphere Application Server ディレクトリーに、JAR ファイルをコピーします。
WAS_profiles_dir/config/tspm/eclipse/plugins
b. これで、IBM Security risk score と IBM Security registered device
count が、IBM Tivoli Security Policy Manager コンソールの「ルール・パラメーター (Rule parameter)」リストで使用できるようになります。
c. リスクベース・アクセスのポリシー・ルールに必要となる可能性のあるカスタム・ルール・パラメーターを追加します。 (例: TRANSACTION。)IBM Tivoli
Security Policy Manager バージョン 7.1 インフォメーション・センター(http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html) の「管理ガイド」を参照してください。 ルール・パラメーターの追加 で検索し、手順に従ってリスクベース・アクセスのカスタム・ルール・パラメーターを作成してください。
4. リスクベース・アクセスのサービスを作成します。IBM Tivoli Security Policy
Manager バージョン 7.1 インフォメーション・センター (http://pic.dhe.ibm.com/
infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html) の「管理ガイド」を参照してください。 新規サービスの作成 で検索し、リスクベース・アクセスのサービスを作成するためのステップを実行してください。以下に示す詳細事項は、リスクベース・アクセスに固有のものです。
a. 「名前」および「説明」ページで、WebSEAL サーバー名を「アプリケーション名」フィールドと「アプリケーション ID」フィールドに入力します。例: localhost-default。
b. 「アクションの指定 (Specify Actions)」ページで、「アクションが定義されていません (以下に定義します)(No actions defined (define below))」を選択します。
c. 「サービス構造 (Service Structure)」ページの「エレメント ID (ElementID)」フィールドに、リスクベース・アクセスによって保護される必要のあるリソースを入力します。例えば、WebSEAL junction 名 /FIM を入力します。
5. 必要な義務を追加します。
a. IBM Tivoli Security Policy Manager コンソールで、「ID およびアクセス(Identity and Access)」>「義務 (Obligations)」をクリックします。
b. 「義務 (Obligations)」ページで、「追加」をクリックします。
c. 義務の名前、ID、および説明を指定します。例:
名前: Device Registration
ID: http://security.ibm.com/obligations/registerDevice
説明: Register device
次のタスク
IBM Tivoli Security Policy Manager コンソールでは、既存のリスクベース・アクセス・ポリシーを移行することも、リスクベース・アクセス・ポリシーを作成することもできます。
第 5 章 管理 55
IBM Tivoli Security Policy Manager へのポリシーの移行ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager を使用して構成されている場合、これをポリシー管理ポイントとして使用して、リスクベース・アクセス・ポリシーを管理できます。リスクベース・アクセスのランタイム・セキュリティー・サービスからポリシーをエクスポートして、IBM Tivoli
Security Policy Manager にインポートできます。
始める前にv リスクベース・アクセスをインストールおよびデプロイします。
v IBM Tivoli Security Policy Manager でリスクベース・アクセスを有効にします。
手順1. リスクベース・アクセスのランタイム・セキュリティー・サービスにあるすべてのポリシーをエクスポートするには、次のコマンドを実行します。
$AdminTask manageRbaPolicy {-operation export -fileId file_path}
ここで、変数 file_path は、Java アーカイブ (JAR) ファイルのパスとファイル名 (/tmp/policy.jar など) を表わします。
ポリシーは、XML 形式で JAR ファイルにエクスポートされます。
2. JAR ファイルから個々のポリシーを抽出します。
3. 個々のポリシーを IBM Tivoli Security Policy Manager にインポートします。IBM Tivoli Security Policy Manager バージョン 7.1 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html) の「管理ガイド」を参照してください。 許可ポリシーのインポート で検索し、ステップに従って XML ポリシー・ファイルをインポートしてください。
4. インポートされたポリシーをサービスに付加します。IBM Tivoli Security Policy
Manager バージョン 7.1 インフォメーション・センター (http://pic.dhe.ibm.com/
infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html) の「管理ガイド」を参照してください。 既存のポリシーへのサービスの付加 で検索してください。次のステップでは、複数のポリシーをサービスに付加する方法を説明します。
a. IBM Tivoli Security Policy Manager コンソールで、「ID およびアクセス(Identity and Access)」>「サービス」をクリックします。
b. 「サービス」ページで、リスクベース・アクセス用に作成したサービスをクリックします。例: localhost-default。
c. 「ポリシー」の下に、インポートしたリスクベース・アクセス・ポリシーを追加します。
5. リスクベース・アクセス・ポリシーをデプロイします。IBM Tivoli Security
Policy Manager バージョン 7.1 インフォメーション・センター(http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html) の「管理ガイド」を参照してください。 許可ポリシーのデプロイで検索し、許可ポリシーを構成および配布するためのタスクに従ってください。
6. IBM Tivoli Security Policy Manager を使用して、リスクベース・アクセス・ポリシーを管理します。詳しくは、IBM Tivoli Security Policy Manager バージョン
56 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
7.1 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/
topic/com.ibm.tspm.doc_7.1/welcome.html) の「管理ガイド」を参照してください。許可ポリシーの管理 で検索してください。
次のタスク
IBM Tivoli Security Policy Managerを使用してリスクベース・アクセス・ポリシーを作成することもできます。
IBM Tivoli Security Policy Manager を使用したリスクベース・アクセス・ポリシーの作成ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager を使用して構成されている場合、それを使用してリスクベース・アクセス・ポリシーを作成および管理できます。
始める前にv リスクベース・アクセスをインストールおよびデプロイします。
v IBM Tivoli Security Policy Manager でリスクベース・アクセスを有効にします。
このタスクについて
注: ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager
を使用してポリシー管理ポイントとして構成されている場合、manageRbaPolicy コマンドを使用してリスクベース・アクセス・ポリシーを作成することはできません。
手順1. 許可ポリシーを作成します。IBM Tivoli Security Policy Manager バージョン 7.1
インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.tspm.doc_7.1/welcome.html) の「管理ガイド」を参照してください。 ルール許可ポリシーの作成 を検索して、リスクベース・アクセス・ポリシーを作成するためのステップを実行します。以下に示す詳細事項は、リスクベース・アクセスに固有のものです。
a. 「名前」フィールドに、リスクベース・アクセス・ポリシーの名前を入力します。ポリシー名にストリング RPS: を接頭部として付ける必要があります。例: RPS:RBA_OneTimePassword。
b. ポリシー定義に従って、「サービス」セクションに、リスクベース・アクセス用に作成したサービスを指定します。例: localhost-default。
c. 事前定義されたルール・パラメーター、またはリスクベース・アクセス用に作成したカスタム・ルール・パラメーターを使用して、「ルール」を定義します。 以下に例を示します。
If IBM Security risk score > 40and IBM Security registered device count <= 70and AUTHENTICATION_LEVEL=1Then Permit access
第 5 章 管理 57
注: リスクベース・アクセス・ポリシーに固有の、事前定義された以下のルール・パラメーターを使用できます。これらのパラメーターは IBM Tivoli
Security Policy Manager バージョン 7.1 のフィックスパック 4 以降で提供されています。
IBM Security risk scoreリスクベース・アクセス RiskCalculatorPIP によって計算されるリスク・スコア。このポリシー情報ポイント (PIP) は、着信要求に関連付けられたリスクを計算します。
IBM Security registered device countリスクベース・アクセス UserFingerprintCountPIP によって計算されるデバイス数。この PIP では、特定のユーザー ID について、リスクベース・アクセス・データベースに登録されたデバイスの数が計算されます。
制約事項: != (等しくない) 演算子は IBM Tivoli Security Policy Manager コンソールでサポートされていません。
d. 「義務 (Obligations)」を指定します。例: Return “Device Registration” on
permit。
2. リスクベース・アクセス・ポリシーをデプロイします。IBM Tivoli Security
Policy Manager バージョン 7.1 インフォメーション・センター(http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/
welcome.html) の「管理ガイド」を参照してください。 許可ポリシーのデプロイで検索し、許可ポリシーを構成および配布するためのタスクに従ってください。
3. IBM Tivoli Security Policy Manager を使用して、リスクベース・アクセス・ポリシーを管理します。詳しくは、IBM Tivoli Security Policy Manager バージョン7.1 インフォメーション・センター (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/
topic/com.ibm.tspm.doc_7.1/welcome.html) の「管理ガイド」を参照してください。許可ポリシーの管理 で検索してください。
デバイス登録デバイス登録は、ユーザーのデバイス・フィンガープリントをリスクベース・アクセス・データベースに格納するプロセスです。デバイス・フィンガープリントには、リスク・スコア計算に必要な情報が含まれています。
リスクベース・アクセス・ポリシーに指定するルールによって、デバイスがサイレントで登録されるか、ユーザーが登録を承認した後にのみ登録されるかが決まります。いずれかのエンドツーエンド・サンプル・ポリシーを使用して、サイレント登録または承認ベースの登録のいずれかの基本ルールを指定します。
また、ユーザーに登録できるデバイスの最大数を構成することもできます。
サイレント・デバイス登録サイレント・デバイス登録は、ユーザーが 2 次チャレンジへの応答に成功した後、デバイスを登録するプロセスです。サイレント登録では、ユーザーによる対話や承認は一切必要ありません。構成するリスクベース・アクセス・ポリシーによって、デバイスがサイレントで登録される必要があるのかが決まります。
58 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
51ページの『リスクベース・アクセスのポリシー・ルールのサンプル・スクリプト』を使用して、ユーザーのデバイスをサイレントで登録するポリシーを構成できます。すぐに使用できるスクリプトによって、エンドツーエンド機能ポリシーに必要な基本ルールが定義されます。
承認ベースのデバイス登録承認ベースのデバイス登録は、ユーザーがデバイスの登録を承認した後にのみ、デバイス・フィンガープリントを登録するプロセスです。サンプル・ルールを使用して、登録済みデバイスのリストにデバイスを追加するかどうかをユーザーが指定できるようにするポリシーを構成します。
承認ベースのデバイス登録が必要になる典型的な状況として、ユーザーが公共のアクセス環境から保護リソースにアクセスしようとする場合が挙げられます。例えば、インターネット・カフェや空港のキオスクからログインする場合などです。ユーザーがログインして、2 次チャレンジへの応答が成功すると、承認フォームが表示されます。この承認フォームは、ユーザーがデバイス登録の承認を指定できるHTML ページにすることができます。
v ユーザーがデバイスの登録を承認すると、デバイスは登録され、アクセスが許可されます。ユーザーが同じデバイスから次にログインするときは、そのデバイスは既に登録されているため、承認フォームは表示されません。
v ユーザーがデバイスの登録を承認しなければ、デバイスは登録されず、アクセスは許可されません。ユーザーが同じデバイスから再度ログインすると、2 次チャレンジが行われ、承認フォームが再度表示されます。登録されていないデバイスからユーザーがログインする場合はリスク・スコアが高いため、このプロセスが繰り返されます。
承認ベースのデバイス登録の構成リスクベース・アクセスに承認ベースのデバイス登録を使用するには、必要な属性とプロパティーを構成する必要があります。
手順1. 承認ベースの登録を有効にするには、http://security.ibm.com/attributes/
environment/userConsent をセッション属性として追加します。
$AdminTask manageRbaRiskProfile {-operation create-attributeId http://security.ibm.com/attributes/environment/userConsent-weight 0 -session true}
2. 認証レベルの外部認証インターフェース (EAI) ヘッダーのプロパティーを構成します。この値は、対応する WebSEAL EAI 構成プロパティーの値と一致する必要があります。
$AdminTask manageRbaConfiguration {-operation create-propertyName eai.header.auth.level -propertyValue am-eai-auth-level}
3. ユーザー ID の EAI ヘッダーのプロパティーを構成します。この値は、対応する WebSEAL EAI 構成プロパティーの値と一致する必要があります。
$AdminTask manageRbaConfiguration {-operation create-propertyName eai.header.user.id -propertyValue am-eai-user-id}
4. 以下の URL を使用して、リスクベース・アクセスで提供されている、すぐに使用できる承認フォームにユーザーをリダイレクトします。http://myhost.company.com/webseal-junction-name/sps/ac/html/consent-form.html?eai-auth-level=stepup_level
第 5 章 管理 59
Where:
v myhost.company.com はホスト名です。
v webseal-junction-name は、IBM Tivoli Federated Identity Manager を指すWebSEAL Junctionです。
v eai-auth-level は eai.header.auth.level プロパティーに構成された値です。
v stepup_level は承認の義務にマップする値です。これは、[obligations-levels-mapping] スタンザの下にある WebSEAL 構成ファイルで指定されています。
5. 承認ベースの登録に対して、以下のサンプル・ポリシー・ルールを使用します。この例では、デバイスがリスクベース・アクセス・データベースに登録されていない場合、承認フォームなどの追加外部認証インターフェースを呼び出します。Policy {
name = localhost-default
Rule {name = RBADemoApplicationPolicyRule1
Target {subject = anyaction = anyresource = any
}
resource integer http://security.ibm.com/attributes/resource/riskScoresubject string AUTHENTICATION_LEVELenvironment string http://security.ibm.com/attributes/environment/userConsent
if AUTHENTICATION_LEVEL == "1" & http://security.ibm.com/attributes/resource/riskScore > 40permit obligation {name=otp
}if AUTHENTICATION_LEVEL == "3"
permit obligation {name=consent
}if AUTHENTICATION_LEVEL == "4" & http://security.ibm.com/attributes/environment/userConsent == "true"
permit obligation {name=http://security.ibm.com/obligations/registerDevice
}if AUTHENTICATION_LEVEL == "4" & http://security.ibm.com/attributes/environment/userConsent == "false"
permitif http://security.ibm.com/attributes/resource/riskScore < 40
permit}
}
1 人のユーザーに登録されるデバイス数の構成不正アクセスのリスクを最小限に抑えるために、1 人のユーザーに登録されるデバイスの最大数に制限を設定する必要があります。デフォルトでは、ユーザーごとに最大 10 個のデバイスが登録されます。 max.no.of.registered.devices 構成プロパティーの値を変更して、この数を変更できます。
手順
manageRbaConfiguration コマンドを使用して、max.no.of.registered.devices プロパティーを構成します。 1 人のユーザーが登録できるデバイスの最大数を示す値を指定します。デフォルト値は 10 です。有効値は 1 から 20 です。例:
$AdminTask manageRbaConfiguration {-operation update-propertyName max.no.of.registered.devices -propertyValue 12}
タスクの結果
ユーザーがデバイスを登録すると、リスクベース・アクセスによって、そのユーザーに対して既に登録されているデバイスの数がカウントされ、以下のアクションが実行されます。
60 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v 数が max.no.of.registered.devices プロパティーの値以上である場合、最も古いデバイスの登録情報が削除されます。これにより、新しいデバイスが登録されます。
v 数が max.no.of.registered.devices プロパティーの値未満である場合、新しいデバイスが登録されます。
第 5 章 管理 61
62 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 6 章 監査
リスクベース・アクセスでは、クリティカルなイベントの監査レコードが生成されます。監査レコードは、監査ログ・ファイルに書き込まれます。監査ログを使用して、アクティビティーをモニターし、リスクベース・アクセスに関連する潜在的なセキュリティー問題を追跡します。
監査レコードは、リスクベース・アクセスの構成、ポリシー、属性、およびセッションを管理するコマンドについて生成されます。また、リスクベース・アクセスのポリシー情報ポイント (PIP) やデバイス登録に関連するクリティカルな操作についても、監査レコードが生成されます。
監査ログ設定の管理特定の構成プロパティーを使用すると、監査を使用可能または使用不可にしたり、監査ログのデフォルト設定を変更したりできます。例えば、監査ログ・ファイルの名前、場所、および最大サイズの設定を変更できます。
このタスクについて
デフォルトでは、リスクベース・アクセスについての監査は使用可能になっています。監査ログ・ファイルについては、デフォルトの設定値が指定されます。監査のデフォルト設定を変更する場合は、以下の構成プロパティーを使用できます。
com.tivoli.am.rba.audit.enableAuditing
監査を使用可能または使用不可にします。
デフォルト値は true です。
com.tivoli.am.rba.audit.file.name
監査ログ・ファイルの命名方法を指定します。
ログ・ファイル名のデフォルトのプレフィックスは rba_audit_log です。
com.tivoli.am.rba.audit.file.location
監査ログ・ファイルの場所を指定します。
デフォルトの場所は、WebSphere Application Server のデフォルト logs ディレクトリー内の rba_audit ディレクトリーです。
AIX® または Linux システム/opt/IBM/WebSphere/AppServer/profiles/profile_name/logs/
rba_audit
Windows システムC:¥Program Files¥IBM¥WebSphere¥AppServer¥profiles¥
profile_name¥logs¥rba_audit
com.tivoli.am.rba.audit.file.location プロパティーで指定するロケーションは、WebSphere Application Server のデフォルト logs ディレクトリーからの相対位置です。
© Copyright IBM Corp. 2012 63
例えば、Windows システムでこの値を rba と指定すると、ログ・ファイルは C:¥Program
Files¥IBM¥WebSphere¥AppServer¥profiles¥profile_name¥logs¥rba ディレクトリーに格納されます。
com.tivoli.am.rba.audit.file.size
監査ファイルの最大サイズをメガバイト (MB) で指定します。
デフォルト値は 100000 MB です。
com.tivoli.am.rba.audit.number.of.files
作成される監査ファイルの最大数を指定します。この数を超えると、一番古いファイルが上書きされます。
デフォルト値は 10 です。
手順1. manageRbaConfiguration コマンドを使用して、監査用のリスクベース・アクセスのプロパティーを構成します。
$AdminTask manageRbaConfiguration {-operation update[-propertyName property_name][-propertyValue property_value]}
Where:
property_name は、このタスクについてで説明するプロパティーの 1 つです。
property_value は、このタスクについてで説明する、当該プロパティーに関連する値です。
2. ランタイム・セキュリティー・サービス外部許可サービス (EAS) 要求の監査レコードを構成するには、webseald-default.conf という名前のデフォルトWebSEAL 構成ファイルの [rtss-eas] スタンザの下に、audit-log-cfg エントリーを指定します。例えば、以下のエントリーを追加できます。
audit-log-cfg = file path=/tmp/rtss-audit.log,flush=20,rollover=2000000,buffer_size=8192,queue_size=48
詳しくは、 31ページの『ランタイム・セキュリティー・サービス外部許可サービスのサンプル構成データ』を参照してください。
監査ログ監査ログ・ファイルは eXtensible Markup Language (XML) で生成されます。ログ・ファイルには、各監査イベントの詳細 (ユーザー、時刻、アクション、結果など) を記録したエレメントが含まれています。
監査ログ・ファイルを見つける方法について詳しくは、 63ページの『監査ログ設定の管理』にある com.tivoli.am.rba.audit.file.location プロパティーの説明を参照してください。
以下の表に、リスクベース・アクセスの監査イベントにおける監査エレメントを示します。
64 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
表 6. 監査イベントのエレメント
監査イベントのエレメント 説明
userInfoList イベントをトリガーしたユーザー。
creationTime イベントが生成された日時。
actionInfo イベント名。これは操作を示します。
例 : POLICY_CREATE_EVENT
outcome 操作の結果。SUCCESSFUL または FAILURE が指定されます。
globalInstanceId 監査イベントの ID。
extensionName イベント・タイプの名前。
例えば、リスクベース・アクセス監査の場合、イベント・タイプはSECURITY_RBA_AUDIT_AUTHZ です。
messages イベント・アクションのメッセージ詳細。
監査ログ・ファイルのスニペット例では、以下のリスクベース・アクセス操作が記録されます。
v 属性検索の正常終了
v 属性の作成の失敗
v リスク・スコア計算の正常終了
v デバイス登録の正常終了
v デバイス登録情報の削除の正常終了<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"
globalInstanceId="uuiddc425c98-0138-1039-b7ba-882c9b14694c"msg="The command manageRbaConfiguration’s operation was succuessful with the given arguments
{operation=search}"version="1.0.1">
<extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string"><values>1.1</values>
</extendedDataElements><extendedDataElements name="actionInfo" type="noValue">
<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>RUNTIME_CONFIGURATION_SEARCH_EVENT</values>
</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">
<children name="result" type="string"><values>SUCCESSFUL</values>
</children></extendedDataElements><extendedDataElements name="userInfoList" type="noValue">
<children name="appUserName" type="string"><values>defaultWIMFileBasedRealm/wasadmin</values>
</children></extendedDataElements>
</CommonBaseEvent>
<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuiddc51c52c-0138-1620-b4ab-882c9b14694c"msg="The command manageRbaConfiguration’s operation was unsuccuessful with the given arguments
{operation=create}" version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">
<values>1.1</values></extendedDataElements><extendedDataElements name="actionInfo" type="noValue">
<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>RUNTIME_CONFIGURATION_CREATE_EVENT</values>
</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">
<children name="result" type="string"><values>FAILURE</values>
</children></extendedDataElements>
第 6 章 監査 65
<extendedDataElements name="userInfoList" type="noValue"><children name="appUserName" type="string">
<values>defaultWIMFileBasedRealm/wasadmin</values></children>
</extendedDataElements></CommonBaseEvent>
<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuid93126693-0137-1b69-9a86-ae316fbc293b"msg="FBTRBA200I Calculated risk percentage: "100"." version="1.0.1">
<extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string"><values>1.1</values>
</extendedDataElements><extendedDataElements name="actionInfo" type="noValue">
<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>CALCULATE_RISK_SCORE_EVENT</values>
</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">
<children name="result" type="string"><values>SUCCESSFUL</values>
</children></extendedDataElements><extendedDataElements name="userInfoList" type="noValue">
<children name="appUserName" type="string"><values>cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com</values>
</children></extendedDataElements>
</CommonBaseEvent>
<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuid93126720-0137-1684-923c-ae316fbc293b"msg="FBTRBA201I A new device registered for user:
"cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com"." version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">
<values>1.1</values></extendedDataElements><extendedDataElements name="actionInfo" type="noValue">
<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>DEVICE_REGISTRATION_EVENT</values>
</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">
<children name="result" type="string"><values>SUCCESSFUL</values>
</children></extendedDataElements><extendedDataElements name="userInfoList" type="noValue">
<children name="appUserName" type="string"><values>cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com</values>
</children></extendedDataElements>
</CommonBaseEvent>
<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuid9312b115-0137-1a81-a981-ae316fbc293b"msg="FBTRBA203I A device deleted for user:
"cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com"." version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">
<values>1.1</values></extendedDataElements><extendedDataElements name="actionInfo" type="noValue">
<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>DEVICE_DELETION_EVENT</values>
</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">
<children name="result" type="string"><values>SUCCESSFUL</values>
</children></extendedDataElements><extendedDataElements name="userInfoList" type="noValue">
<children name="appUserName" type="string"><values>cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com</values>
</children></extendedDataElements>
</CommonBaseEvent>
次のログは、ランタイム・セキュリティー・サービス外部許可サービス (EAS) 要求の監査レコードの例です。 EAS 要求ごとに、監査レコードが 1 つ生成されます。
<rtss-event><operation>r</operation><pdp-decision>Permit</pdp-decision><pdp-obligation>otp</pdp-obligation><protected-resource>/WebSEAL/localhost-Default2/WAS</protected-resource><server-name>localhost-Default2</server-name>
66 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
<stepup-level>3</stepup-level><tam-policy-decision>AZN_C_PERMITTED</tam-policy-decision><timestamp>2012-05-06 13:55:22 GMT</timestamp><user>sec_master</user><user-agent>Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.1 (KHTML, like Gecko)
Chrome/21.0.1145.0 Safari/537.1</user-agent></rtss-event>
第 6 章 監査 67
68 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 7 章 参照情報
参照情報は特定の事実を素早く検索できるように編成されています。リスクベース・アクセスを管理するためのコマンド、リスク・プロファイルを構成するための属性、およびリスクベース・アクセスを構成するためのプロパティーについての情報が含まれています。
コマンド・リファレンスリスクベース・アクセスのコマンド行インターフェースは、wsadmin コマンド・フレームワークを使用します。リスクベース・アクセスの属性、ポリシー、ランタイム・プロパティー、フィンガープリント、およびデバイスを構成および管理するには、コマンド構文および例を使用します。
manageRbaConfiguration コマンドmanageRbaConfiguration コマンドを使用して、リスクベース・アクセス・プロパティーを作成および構成します。このプロパティーは、データベースの構成、属性収集サービス、ランタイム・セキュリティー・サービス、属性 matcher、および他のリスクベース・アクセス・コンポーネントを指定します。
用途
manageRbaConfiguration コマンドを使用して、構成プロパティーを作成、更新、削除、または検索します。このコマンドを使用して、リスクベース・アクセスをデプロイまたはアンデプロイしたり、構成設定をロードまたはリセットしたりすることもできます。
すべてのリスクベース・アクセス・プロパティーのリストについては、 87ページの『構成プロパティー』を参照してください。
注: プロパティー名の末尾を assword または pwd にして構成した場合、そのプロパティーがデータベースに格納されると、そのプロパティーの値は難読化されます。
構文$AdminTask manageRbaConfiguration {-operation operator [-propertyName property_name]
[-propertyValue property_value] [-fileId response_file_path]}
パラメーター
manageRbaConfiguration コマンドでは、以下のパラメーターを使用します。
-operation operator
リスクベース・アクセス構成の操作を指定します。このパラメーターは必須です。
有効な値は、deploy、undeploy、configure、create、delete、update、unconfigure、search、reload、および createResponseFileです。
© Copyright IBM Corp. 2012 69
表 7. manageRbaConfiguration コマンドの演算子の必須パラメーターとオプション・パラメーター
演算子 説明 必須パラメーターオプション・パラメーター
deploy ランタイム EAR ファイルおよび構成ファイルをアプリケーション・サーバーにインストールすることによって、リスクベース・アクセスをデプロイします。
詳しくは、 16ページの『リスクベース・アクセスのデプロイ』を参照してください。
注: deploy 操作によって、ランタイム・セキュリティー・サービスが IBM Tivoli
Security Policy
Manager を使用して構成されていることが検出された場合、ランタイム・セキュリティー・サービスの既存のインスタンスは上書きされません。
なし なし
70 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
表 7. manageRbaConfiguration コマンドの演算子の必須パラメーターとオプション・パラメーター (続き)
演算子 説明 必須パラメーターオプション・パラメーター
undeploy ランタイム EAR ファイルおよびリスクベース・アクセス構成ファイルをアプリケーション・サーバーの構成リポジトリーから除去することによって、リスクベース・アクセスをアンデプロイします。
注: undeploy 操作によって、ランタイム・セキュリティー・サービスが IBM
Tivoli Security Policy
Manager を使用して構成されていることが検出された場合、ランタイム・セキュリティー・サービスのインスタンスは除去もアンデプロイもされません。
なし なし
create リスクベース・アクセス構成プロパティーを作成し、その値を設定します。
-propertyName、-
propertyValue
なし
delete リスクベース・アクセス構成プロパティーを削除します。
-propertyName なし
update 既存のリスクベース・アクセス構成プロパティーを更新します。
-propertyName、-
propertyValue
なし
unconfigure リスクベース・アクセス構成設定を構成解除またはリセットします。
なし なし
search 指定されたプロパティーを検索するか、すべてのプロパティーおよび値をリストします。
なし -propertyName
第 7 章 参照情報 71
表 7. manageRbaConfiguration コマンドの演算子の必須パラメーターとオプション・パラメーター (続き)
演算子 説明 必須パラメーターオプション・パラメーター
reload ページおよびプラグインを公開して、Tivoli Federated
Identity Manager ランタイム環境を再ロードします。
なし なし
createResponseFile 応答ファイルのテンプレートを作成します。
-fileId なし
configure 構成プロパティーのバッチ操作を実行する応答ファイルを使用して、リスクベース・アクセスを構成します。
-fileId なし
-propertyName property_name
リスクベース・アクセス構成プロパティーの名前 (例えば、dbdatasource)。
-propertyValue property_value
リスクベース・アクセス構成プロパティーの値。
-fileId response_file_path
入力または出力応答ファイルのパス:
v manageRbaConfiguration コマンドの XML 応答ファイル・テンプレートを出力するには、createResponseFile 演算子を fileId パラメーターと一緒に使用します。
v リスクベース・アクセスを構成するために XML 応答ファイルを入力するには、configure 演算子を fileId パラメーターと一緒に使用します。指定した応答ファイルには、通常はコマンド行で指定する情報が含まれている必要があります。テキスト・エディターを使用して XML 応答ファイルを編集し、必要な値を指定することができます。詳しくは、 75ページの『manageRbaConfiguration コマンドの応答ファイルの例』を参照してください。
注: fileId パラメーターは、operator パラメーターとのみ一緒に使用することができます。他のパラメーターを指定しても無視されます。
例
以下の例は、manageRbaConfiguration コマンドのさまざまな操作の正しい構文を示しています。
リスクベース・アクセスをデプロイする:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation deploy}
72 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation deploy]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’deploy’])
詳しくは、 16ページの『リスクベース・アクセスのデプロイ』を参照してください。
リスクベース・アクセスをアンデプロイする:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation undeploy}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation undeploy]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’undeploy’])
リスクベース・アクセスを構成する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation configure -fileId /tmp/resp.xml}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation configure -fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’configure’,’-fileId’, ’/tmp/resp.xml’])
リスクベース・アクセス構成設定を構成解除またはリセットする:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation unconfigure}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation unconfigure]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’unconfigure’])
リスクベース・アクセス構成プロパティーを作成してその値を設定する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation create -propertyName dbdatasource-propertyValue jdbc/rbadb}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation create -propertyName dbdatasource-propertyValue jdbc/rbadb]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’create’,’-propertyName’, ’dbdatasource’, ’-propertyValue’, ’jdbc/rbadb’])
既存のリスクベース・アクセス構成プロパティーの値を更新する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation update -propertyName dbdatasource-propertyValue jdbc/rba2db}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation update -propertyName dbdatasource-propertyValue jdbc/rba2db]’)
第 7 章 参照情報 73
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’update’,’-propertyName’, ’dbdatasource’, ’-propertyValue’, ’jdbc/rba2db’])
リスクベース・アクセス構成プロパティーとその値を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation delete -propertyName dbdatasource}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation delete -propertyName dbdatasource]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’delete’,’-propertyName’, ’dbdatasource’])
指定されたプロパティーとその値を表示するためにプロパティーを検索する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation search -propertyName dbdatasource}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation search -propertyName dbdatasource]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’search’,’-propertyName’, ’dbdatasource’])
すべてのリスクベース・アクセス・プロパティーとそれらの値を表示する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation search}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation search]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’search’])
ページおよびプラグインを公開して Tivoli Federated Identity Manager ランタイム環境を再ロードする:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation reload}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation reload]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’reload’])
このコマンドの応答ファイル・テンプレートを作成する:
v Jacl を使用する場合:
$AdminTask manageRbaConfiguration {-operation createResponseFile-fileId /tmp/resp.xml}
v Jython ストリングを使用する場合:
$AdminTask manageRbaConfiguration(’[-operation createResponseFile-fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaConfiguration([’-operation’, ’createResponseFile’,’-fileId’, ’/tmp/resp.xml’])
74 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
注: manageRbaConfiguration コマンドを使用して構成プロパティーを変更したら、reload オプションが指定された manageRbaConfiguration コマンドを実行して、変更内容を有効にする必要があります。
manageRbaConfiguration コマンドの応答ファイルの例応答ファイルを使用して、manageRbaConfiguration コマンドのバッチ操作を実行します。応答ファイルには、通常はコマンド行で指定する情報が含まれます。応答ファイルを使用することは、構成プロセスを自動化するのに役立ちます。
応答ファイル・テンプレートを作成するには、manageRbaConfiguration コマンドのcreateResponseFile 演算子と一緒に fileId パラメーターを使用します。応答ファイル・テンプレートを編集して、必要な値を指定します。 fileId パラメーターの詳細については、 69ページの『manageRbaConfiguration コマンド』を参照してください。
以下の応答ファイルの例は、データ・ソースの構成プロパティーを作成し、構成プロパティーの値を指定する方法を示しています。
<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.Properties"><void method="put">
<string>dbdatasource</string><string>jdbc/rbadb</string>
</void></object></java>
manageRbaDevices コマンドmanageRbaDevices コマンドを使用して、登録済みデバイスとデバイス・フィンガープリントを管理します。デバイス・フィンガープリントは、リスクベース・アクセス・データベースに格納されている属性の、ユーザー ID とキー値のペアで構成されています。
用途
manageRbaDevices コマンドを使用して、デバイス登録情報を作成、検索、または削除します。
構文$AdminTask manageRbaDevices {-operation operator [-userId unique_user_ID]
[-deviceId unique_device_ID] [-attributes attribute_list]}
パラメーター
manageRbaDevices コマンドでは、以下のパラメーターを使用します。
-operation operator
属性のオペレーションを指定します。このパラメーターは必須です。
有効な値は、create、delete、および search です。
第 7 章 参照情報 75
表 8. manageRbaDevices コマンドの演算子の必須パラメーターとオプション・パラメーター
演算子 説明 必須パラメーターオプション・パラメーター
create デバイスの登録情報を作成します。
-userId、-
attributes
-delimiter
delete 指定されたデバイスまたは指定されたユーザーのすべてのデバイスの登録情報を削除します。
-userId または-deviceId のいずれかが必須
-userId、-deviceId
search すべての登録済みデバイスをリストするか、指定されたユーザーに登録されているデバイスを検索します。
なし -userId
-userId unique_user_ID
ユーザーの固有 ID である英数字の値。
search 操作にユーザー ID を指定しない場合は、すべての登録済みデバイスがリストされます。
-deviceId unique_device_ID
デバイスの固有 ID である英数字の値。
delete 操作にデバイス ID を指定しない場合は、指定されたユーザー ID のすべての登録情報が削除されます。
-attributes attribute_list
属性のキー値のペアのリスト。
デフォルトの区切り文字はパーセント記号 (%) です。
-delimiter delimiter
属性のリストでキー値のペアを区切る文字。
-attributes パラメーターを使用してデバイスを登録する場合は、-delimiterパラメーターを使用して区切り文字を指定します。
delimiter パラメーターを指定しない場合は、パーセント記号 (%) がデフォルトの区切り文字になります。
例
以下の例は、manageRbaDevices コマンドのさまざまな操作の正しい構文を示しています。
デバイスの登録情報を作成します。以下の例では、デフォルトの区切り文字のパーセント記号 (%) が使用されています。
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation create -userId user1-attributes attribute1=value1%attribute2=value2%attribute3=value3}
v Jython ストリングを使用する場合:
76 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
$AdminTask manageRbaDevices(’[-operation create -userId user1-attributes attribute1=value1%attribute2=value2%attribute3=value3]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’create’, ’-userId’, ’user1’,’-attributes’ ’attribute1=value1%attribute2=value2%attribute3=value3’])
デバイスの登録情報を作成し、属性のリストの区切り文字を指定します。次の例では、区切り文字としてコンマ (,) が使用されています。
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation create -userId user1 -delimiter ,-attributes attribute1=value1,attribute2=value2,attribute3=value3}
v Jython ストリングを使用する場合:
$AdminTask manageRbaDevices(’[-operation create -userId user1 -delimiter ,-attributes attribute1=value1,attribute2=value2,attribute3=value3]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’create’, ’-userId’, ’user1’,’-delimiter’ ’,’’-attributes’ ’attribute1=value1,attribute2=value2,attribute3=value3’])
すべての登録済みデバイスをリストする:
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation search}
v Jython ストリングを使用する場合:
$AdminTask manageRbaDevices(’[-operation search]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’search’])
特定のユーザーに登録されているデバイスを検索する:
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation search -userId user1}
v Jython ストリングを使用する場合:
$AdminTask manageRbaDevices(’[-operation search -userId user1]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’search’, ’-userId’, ’user1’])
指定されたユーザーのすべてのデバイスの登録情報を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation delete -userId user1}
v Jython ストリングを使用する場合:
$AdminTask manageRbaDevices(’[-operation delete -userId user1]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’delete’, ’-userId’, ’user1’])
指定されたデバイスの登録情報を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaDevices {-operation delete -deviceId device1}
v Jython ストリングを使用する場合:
$AdminTask manageRbaDevices(’[-operation delete -deviceId device1]’)
v Jython リストを使用する場合:
$AdminTask manageRbaDevices([’-operation’, ’delete’, ’-deviceId’, ’device1’])
第 7 章 参照情報 77
manageRbaPolicy コマンドポリシー・ルールを使用してスクリプトを作成した後で、manageRbaPolicy コマンドを使用して、リスクベース・アクセスの許可ポリシーを作成および構成する必要があります。
用途
manageRbaPolicy コマンドを使用して、ポリシーを作成、更新、削除、および検索します。
ポリシーを作成する前にポリシー・ルールを指定するスクリプトを作成する必要があります ( 48ページの『許可ポリシー生成言語』を参照してください)。
注: ランタイム・セキュリティー・サービスが IBM Tivoli Security Policy Manager
を使用してポリシー管理ポイントとして構成されている場合、manageRbaPolicy コマンドを使用してリスクベース・アクセス・ポリシーを管理することはできません。詳しくは、 52ページの『IBM Tivoli Security Policy Manager を使用したポリシー管理』を参照してください。
構文$AdminTask manageRbaPolicy {-operation operator [-policyId unique_ID]
[-policyFile file_name] [-serviceName service_name] [-fileId response_file_path]}
パラメーター
manageRbaPolicy コマンドでは、以下のパラメーターを使用します。
-operation operator
ポリシーに対する操作を指定します。このパラメーターは必須です。
有効な値は、create、update、delete、search、export、およびcreateResponseFile です。
表 9. manageRbaPolicy コマンドの演算子の必須パラメーターとオプション・パラメーター
演算子 説明 必須パラメーターオプション・パラメーター
create ポリシーを作成します¡
-policyFile -policyId、-fileId
update ポリシーを更新します。
-policyFile -policyId、-fileId
delete ポリシーを削除します¡
-serviceName -policyId、-fileId
search ポリシーを検索します。
なし -policyId、-
serviceName
export ポリシーを Java アーカイブ (JAR) ファイルにエクスポートします。
-fileId なし
78 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
表 9. manageRbaPolicy コマンドの演算子の必須パラメーターとオプション・パラメーター(続き)
演算子 説明 必須パラメーターオプション・パラメーター
createResponseFile 応答ファイル・テンプレートを作成するか、応答ファイルを使用してバッチ操作を実行します。
-fileId なし
-policyId unique_ID
ポリシーの固有 ID である英数字の値。
注: WebSEAL を使用する IBM Tivoli Access Manager for e-business 環境では、-policyId パラメーターの値は、通常 -serviceName パラメーターと同じです。この場合、ランタイム・セキュリティー・サービスは、ポリシー ID として _DEFAULT_ を使用してポリシーを格納します。したがって、指定のポリシーを検索する場合は、-serviceName パラメーターと一緒に、-policyId 値に_DEFAULT_ を指定して検索する必要があります。
-policyFile file_path
ポリシーのパスおよびファイル名。
-serviceNameポリシーで使用するサービス名です。
WeBSEAL を使用する IBM Tivoli Access Manager for e-business 環境では、サービス名は WebSEAL サーバー名と同じです。例えば localhost-default です。
サービス名を使用して、特定のポリシーを検索できます。
-fileId response_file_path
入力または出力応答ファイルのパス、あるいはエクスポートされたポリシー・ファイルのパス:
v manageRbaPolicy コマンドの XML 応答ファイル・テンプレートを出力するには、createResponseFile 演算子を fileId パラメーターと一緒に使用します。
v ポリシーを構成するために XML 応答ファイルを入力するには、create、update、または delete 演算子を fileId パラメーターと一緒に使用します。指定した応答ファイルには、通常はコマンド行で指定する情報が含まれている必要があります。テキスト・エディターを使用して XML 応答ファイルを編集し、必要な値を指定します。詳しくは、 81ページの『manageRbaPolicy コマンドの応答ファイルの例』を参照してください。
v リスクベース・アクセス用に構成されているランタイム・セキュリティー・サービスのすべてのポリシーをエクスポートするには、export 演算子をfileId パラメーターと一緒に使用します。ポリシーは、XML 形式で JAR
ファイルにエクスポートされます。
注: fileId パラメーターは、operator パラメーターとのみ一緒に使用することができます。他のパラメーターを指定しても無視されます。
第 7 章 参照情報 79
例
以下の例は、manageRbaPolicy コマンドのさまざまな操作の正しい構文を示しています。
ポリシーを作成する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation create -policyId RBA_policy-policyFile /tmp/policy001}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation create -policyId RBA_policy-policyFile /tmp/policy001]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’create’, ’-policyId’, ’RBA_policy’,’-policyFile’ ’/tmp/policy001’])
ポリシーを変更する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation update -policyFile /tmp/policy001}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation update -policyFile /tmp/policy001]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’update’, ’-policyFile’, ’/tmp/policy001’])
ポリシー ID によってポリシーを検索する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation search -policyId RBA_policy}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation search -policyId RBA_policy]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’search’, ’-policyId’, ’RBA_policy’])
すべてのポリシーを検索する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation search}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation search]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’search’])
ポリシーを削除する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation delete -serviceName localhost-default}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation delete -serviceName localhost-default]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’delete’, ’-serviceName’, ’localhost-default’])
JAR ファイルにポリシーをエクスポートする:
80 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation export -fileId /tmp/policy.jar}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation export -fileId /tmp/policy.jar]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’export’, ’-fileId’, ’/tmp/policy.jar’])
このコマンドの応答ファイル・テンプレートを作成する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation createResponseFile -fileId /tmp/resp.xml}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation createResponseFile -fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’createResponseFile’,’-fileId’, ’/tmp/resp.xml’])
応答ファイルを入力として使用してポリシーを作成する:
v Jacl を使用する場合:
$AdminTask manageRbaPolicy {-operation create -fileId /tmp/resp.xml}
v Jython ストリングを使用する場合:
$AdminTask manageRbaPolicy(’[-operation create -fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaPolicy([’-operation’, ’create’, ’-fileId’, ’/tmp/resp.xml’])
manageRbaPolicy コマンドの応答ファイルの例応答ファイルを使用して、manageRbaPolicy コマンドのバッチ操作を実行します。応答ファイルには、通常はコマンド行で指定する情報が含まれます。応答ファイルを使用することは、構成プロセスを自動化するのに役立ちます。
応答ファイル・テンプレートを作成するには、manageRbaPolicy コマンドのcreateResponseFile 演算子と一緒に fileId パラメーターを使用します。応答ファイル・テンプレートを編集して、必要な値を指定します。 fileId パラメーターの詳細については、 78ページの『manageRbaPolicy コマンド』を参照してください。
以下の応答ファイルの例は、rbapolicy という名前のポリシーを作成し、policyIdや policyFile などのポリシー・プロパティーを指定する方法を示しています。
<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.ArrayList"><void method="add"><object class="com.tivoli.am.rba.cli.CLIPolicyParameters"><void property="policyId"><string>rbapolicy</string></void><void property="policyFile"><string>/tmp/policy001.xml</string></void></object></void></object></java>
第 7 章 参照情報 81
manageRbaRiskProfile コマンドmanageRbaRiskProfile コマンドを使用して、リスク属性の重みを管理および構成します。リスク・スコア計算は、属性に指定する重みに基づいています。
用途
manageRbaRiskProfile コマンドを使用して、属性を作成、更新、削除、および検索します。
すべてのリスクベース・アクセス属性のリストについては、 94ページの『リスク関連の属性』を参照してください。
構文$AdminTask manageRbaRiskProfile {-operation operator [-attributeId unique_ID]
[-weight weight] [-device true|false] [-session true|false][-behavior true|false] [-fileId response_file_path]}
パラメーター
manageRbaRiskProfile コマンドでは、以下のパラメーターを使用します。
-operation operator
属性のオペレーションを指定します。このパラメーターは必須です。
有効な値は、create、update、delete、search、および createResponseFile です。
注: 登録済みデバイス・フィンガープリントの一部としてデータベースに格納されている属性を削除しようとすると、エラーが発生します。デバイス・フィンガープリントは、ユーザー ID と、特定ユーザーを識別する一連の属性のキーと値のペアで構成されます。削除できる属性は、どのデバイス・フィンガープリントの一部としてもデータベースに登録されていない属性のみです。
表 10. manageRbaRiskProfile コマンドの演算子の必須パラメーターとオプション・パラメーター
演算子 説明 必須パラメーターオプション・パラメーター
create 属性を作成して重みを指定します。
-attributeId、-
weight
-fileId、-device、-
session、-behavior
update 既存の属性を更新します。
-attributeId、-
weight
-fileId、-device、-
session、-behavior
delete 属性を削除します。 -attributeId -fileId
search 特定の属性を検索するか、すべての属性をリストします。
なし -attributeId、-
fileId
createResponseFile 応答ファイル・テンプレートを作成するか、応答ファイルを使用してバッチ操作を実行します。
-fileId なし
82 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
-attributeId unique_ID
属性の固有の ID である英数字の値。
search 操作に属性 ID を指定しない場合は、すべての属性に対して検索が行われます。
-weight weight
属性の重みである数値。
リスクベース・アクセスは重みを使用して、リスク・スコアを計算します。
-device true|false
デバイス・フィンガープリントの一部として属性を格納する必要があるかどうかを示します。
このパラメーターのデフォルト値は、true です。
-session true|false
属性をセッション属性として格納する必要があるかどうかを示します。
このパラメーターのデフォルト値は、true です。
-behavior true|false
属性を動作属性としてヒストリカル・ストレージ域に格納する必要があるかどうかを示します。
このパラメーターのデフォルト値は、false です。
-fileId response_file_path
入力または出力応答ファイルのパス:
v manageRbaRiskProfile コマンドの XML 応答ファイル・テンプレートを出力するには、 createResponseFile 演算子を fileId パラメーターとともに使用します。
v 属性を構成するために XML 応答ファイルを入力するには、create、update、 delete、または search 演算子を fileId パラメーターとともに使用します。指定した応答ファイルには、通常はコマンド行で指定する情報が含まれている必要があります。テキスト・エディターを使用して XML 応答ファイルを編集し、必要な値を指定します。詳しくは、 85ページの『manageRbaRiskProfile コマンドの応答ファイルの例』を参照してください。
注: fileId パラメーターとともに使用できるパラメーターは、operator のみです。他のパラメーターを指定しても無視されます。
例
以下の例は、manageRbaRiskProfile コマンドのさまざまな操作についての正しい構文を示しています。
属性を作成する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation create -attributeId browser-weight 75}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation create -attributeId browser-weight 75]’)
v Jython リストを使用する場合:
第 7 章 参照情報 83
$AdminTask manageRbaRiskProfile([’-operation’, ’create’, ’-attributeId’, ’browser’,’-weight’, ’75’])
特定の属性を検索する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation search -attributeId browser}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation search -attributeId browser]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’search’, ’-attributeId’, ’browser’])
すべての属性をリストする:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation search}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation search]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’search’])
既存の属性の重みを変更する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation update -attributeId browser-weight 25}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation update -attributeId browser-weight 25]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’update’, ’-attributeId’, ’browser’,’-weight’, ’25’])
属性を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation delete -attributeId browser}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation delete -attributeId browser]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’delete’, ’-attributeId’, ’browser’])
このコマンドの応答ファイル・テンプレートを作成する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation createResponseFile -fileId /tmp/resp.xml}
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation createResponseFile-fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’createResponseFile’,’-fileId’, ’/tmp/resp.xml’])
応答ファイルを入力として使用して、複数の属性を作成する:
v Jacl を使用する場合:
$AdminTask manageRbaRiskProfile {-operation create -fileId /tmp/resp.xml}
84 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v Jython ストリングを使用する場合:
$AdminTask manageRbaRiskProfile(’[-operation create -fileId /tmp/resp.xml]’)
v Jython リストを使用する場合:
$AdminTask manageRbaRiskProfile([’-operation’, ’create’, ’-fileId’, ’/tmp/resp.xml’])
注: manageRbaRiskProfile コマンドを使用して属性を変更したら、reload オプションが指定された manageRbaConfiguration コマンドを実行して、変更内容を有効にする必要があります。
manageRbaRiskProfile コマンドの応答ファイルの例応答ファイルを使用して、manageRbaRiskProfile コマンドのバッチ操作を実行します。応答ファイルには、通常はコマンド行で指定する情報が含まれます。応答ファイルを使用することは、構成プロセスを自動化するのに役立ちます。
応答ファイル・テンプレートを作成するには、manageRbaRiskProfile コマンドでcreateResponseFile 演算子とともに fileId パラメーターを使用します。応答ファイル・テンプレートを編集して、必要な値を指定します。 fileId パラメーターの詳細については、 82ページの『manageRbaRiskProfile コマンド』を参照してください。
以下の応答ファイルの例は、browser という属性を作成して、重みを指定する方法を示しています。
<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.ArrayList"><void method="add"><object class="com.tivoli.am.rba.cli.CLIConfigParameters"><void property="attrId"><string>browser</string></void><void property="weight"><string>80</string></void></object></void></object></java>
manageRbaSessions コマンドmanageRbaSessions コマンドを使用して、属性収集サービスが収集するセッション属性を管理します。ユーザーのセッション属性は、セッションがタイムアウトになるまで一時的に格納されます。ただし、デバイスが登録されると、セッション属性もデバイス・フィンガープリントの一部として格納されます。
用途
manageRbaSessions コマンドを使用して、セッション属性をリスト、検索、または削除します。
構文$AdminTask manageRbaSessions {-operation operator [-userId unique_user_ID]}
第 7 章 参照情報 85
パラメーター
manageRbaSessions コマンドでは、以下のパラメーターを使用します。
-operation operator
セッション属性の操作を指定します。このパラメーターは必須です。
有効な値は、search と delete です。
表 11. manageRbaSessions コマンドの演算子の必須パラメーターとオプション・パラメーター
演算子 必須パラメーター オプション・パラメーター
search すべてのセッション属性をリストするか、指定されたユーザーのセッション属性を検索します。
-userId
delete 指定されたユーザーのセッション属性またはすべてのセッション属性をデータベースから削除します。
-userId
-userId unique_user_ID
ユーザーの固有の ID。
例
以下の例は、manageRbaSessions コマンドのさまざまな操作についての正しい構文を示しています。
すべてのセッション属性をリストする:
v Jacl を使用する場合:
$AdminTask manageRbaSessions {-operation search}
v Jython ストリングを使用する場合:
$AdminTask manageRbaSessions(’[-operation search]’)
v Jython リストを使用する場合:
$AdminTask manageRbaSessions([’-operation’, ’search’])
指定されたユーザーのセッション属性を検索する:
v Jacl を使用する場合:
$AdminTask manageRbaSessions {-operation search -userId myname}
v Jython ストリングを使用する場合:
$AdminTask manageRbaSessions(’[-operation search -userId myname]’)
v Jython リストを使用する場合:
$AdminTask manageRbaSessions([’-operation’, ’search’, ’-userId’, ’myname’])
すべてのセッション属性を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaSessions {-operation delete}
v Jython ストリングを使用する場合:
$AdminTask manageRbaSessions(’[-operation delete]’)
86 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v Jython リストを使用する場合:
$AdminTask manageRbaSessions([’-operation’, ’delete’])
指定されたユーザーのセッション属性を削除する:
v Jacl を使用する場合:
$AdminTask manageRbaSessions {-operation delete -userId myname}
v Jython ストリングを使用する場合:
$AdminTask manageRbaSessions(’[-operation delete -userId myname]’)
v Jython リストを使用する場合:
$AdminTask manageRbaSessions([’-operation’, ’delete’, ’-userId’, ’myname’])
構成プロパティープロパティーを指定して、データベース、属性収集サービス、ランタイム・セキュリティー・サービス、および属性 matcher など、リスクベース・アクセスのさまざまなコンポーネントを構成します。
69ページの『manageRbaConfiguration コマンド』を使用して、以下のリスクベース・アクセス・プロパティーを作成および構成できます。
重要: manageRbaConfiguration コマンドを使用して構成プロパティーを変更した後、WebSphere Application Server を再始動して変更を有効にする必要があります。
注: プロパティー名の末尾を assword または pwd にして構成した場合、そのプロパティーがデータベースに格納されると、そのプロパティーの値は難読化されます。
属性収集サービスのプロパティーac.uuid相関 ID を格納する Cookie の名前。
相関 ID は、Cookie に格納される UUID であり、Cookie は属性収集サービスによって使用されます。この Cookie には、ユーザーのセッション・データが格納されます。セッション・データは、ユーザーが認証の第 1 レベルを通過する前であっても、取り込むことができます。セッション・データは常に格納できるとは限らないため、Cookie を使用してセッション・データが保持されます。
デフォルト値は ac.uuid です。
ac.request.server受信される要求の発信元であるサーバー。
この値は、info.js ファイルが置かれているサーバーのホスト名です。info.js
ファイルは、ユーザーのブラウザーに提供される属性収集サービスの JavaScript
ファイルです。
デフォルト値は rbademo.ibm.com です。
ac.service.location属性収集サービスのロケーション。
第 7 章 参照情報 87
この値は、IBM Tivoli Federated Identity Manager 属性収集サービスのベースURL です。属性収集サービスと、属性を取り込むためのサポート JavaScript ファイルおよび SWF ファイルをホストしています。
デフォルト値は http://rbademo.ibm.com/FIM/sps/ac/ です。
session.timeoutセッションが更新されない限り、リスクベース・アクセス・セッションが自動的に期限切れになるまでの時間(秒数) を表す数値。セッションのいずれかの属性が更新されると、セッションの有効期限時刻は、このプロパティーに指定された秒数だけ延長されます。
デフォルト値は、3600 です。
ac.get.attributes.enabledRepresentational State Transfer (REST) サービスの GET メソッドへのアクセスが許可されるかどうかを示すブール値プロパティー。
デフォルト値は false です。
ac.get.attributes.allowed.clientsREST サービスの GET メソッドへのアクセスが許可されている IP アドレスまたはホスト名のコンマ区切りのリスト。
このプロパティーが設定されず、ac.get.attributes.enabled プロパティーがtrue に設定されている場合は、どのユーザーでも GET メソッドにアクセスできます。
このプロパティーが設定されていても、ac.get.attributes.enabled プロパティーが false に設定されていると、このプロパティーは無視されます。
属性値ストレージのプロパティーattributes.hash.algorithm属性のハッシュ化に使用されるアルゴリズムを決定します。
例: SHA256
attributes.hash.enabledハッシュ化する必要がある値のコンマ区切りのリスト。
監査のプロパティーcom.tivoli.am.rba.audit.file.name監査ログ・ファイルの命名方法を指定します。
ログ・ファイル名のデフォルトのプレフィックスは rba_audit_log です。
com.tivoli.am.rba.audit.enableAuditing監査が使用可能であるか使用不可であるかを示します。
デフォルト値は true です。
com.tivoli.am.rba.audit.file.location監査ログ・ファイルのロケーション。
デフォルトのロケーションは、WebSphere Application Server のデフォルト logs
ディレクトリー内の /rba_audit ディレクトリーです。
88 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
com.tivoli.am.rba.audit.file.location プロパティーで指定するロケーションは、WebSphere Application Server のデフォルト logs ディレクトリーからの相対位置です。
例えば、Windows システムでこの値を rba と指定すると、ログ・ファイルはC:¥Program Files¥IBM¥WebSphere¥AppServer¥profiles¥profile_name¥logs¥rba
ディレクトリーに格納されます。
com.tivoli.am.rba.audit.file.size監査ファイルの最大サイズをメガバイト (MB) 単位で指定する数値。
デフォルト値は 100000 です。
com.tivoli.am.rba.audit.number.of.files作成される監査ファイルの最大数を指定する数値。この数を超えると、最も古いファイルが上書きされます。
デフォルト値は 10 です。
データベース構成のプロパティーdbdatasourceデータベース・アクセスの JNDI データ・ソース名であり、WebSphere
Application Server に構成されます。
デフォルト値は jdbc/rba です。デフォルト値 jdbc/rba の使用に問題がある場合のみ、このプロパティーを使用して別の JNDI 名を指定してください。
dbpasswordデータベースのパスワードをユーザーが設定できるようにする特別なプロパティー。このプロパティーは、組み込み solidDB データベースを使用している場合にのみ機能します。それ以外の場合、このプロパティーは無視されます。
デバイス登録のプロパティーsubject.id.attribute.name
EAS からの着信要求のサブジェクト・セクションにある属性の名前であり、リスクベース・アクセスにユーザー ID を提供します。
デバイスが登録されると、この属性によって、現在ログインしているユーザーのユーザー ID が提供されます。
デフォルト値は AZN_CRED_PRINCIPAL_NAME です。
max.no.of.registered.devices1 つのユーザーに対して登録できるデバイス・フィンガープリントの最大数を指定する数値。
デフォルト値は 10 です。
有効値は 1 から 20 です。この範囲を超える値が指定された場合は、デフォルトで 20 になります。
第 7 章 参照情報 89
外部認証インターフェース (EAI) および承認ベース登録のプロパティー
リスクベース・アクセスでは、承認ベースの登録をサポートする EAI 実装が、すぐに使用できる状態で用意されています。以下のプロパティーは、主に承認ベースの登録機能に適用されます。
eai.header.auth.level認証レベルの EAI ヘッダー。
この値は、対応する WebSEAL EAI 構成プロパティーの値と一致する必要があります。
例: am-eai-auth-level。
eai.header.user.idユーザー ID の EAI ヘッダー。
この値は、対応する WebSEAL EAI 構成プロパティーの値と一致する必要があります。
例: am-eai-user-id。
user.consent.attribute.idデバイス登録に関するユーザーの承認決定を示すセッション属性 ID。
デフォルト値は http://security.ibm.com/attributes/environment/
userConsent です。
device.nameユーザーによって指定されたデバイスの名前。
この値は、承認ベースのデバイス登録の一部として取り込まれます。
デフォルト値は device.name です。
consent.application.attribute.idユーザーの承認を取り込むアプリケーション。
デフォルト値は http://security.ibm.com/attributes/environment/
consentApplication です。
ロギングおよびレポートのプロパティーdb.logging.enabledリスクベース・アクセスによって実行されるデータベース SQL ステートメントに対してきめ細かいロギングを行うかどうかを示します。
デフォルト値は false です。
generate.risk.calculation.reportsリスク計算レポートを生成する必要があるかどうかを示します。
デフォルト値は false です。
この値が true の場合、レポートは、WebSphere Application Server Java 仮想マシン (JVM) の一時ディレクトリー内の rba というフォルダーに格納されます。 java.io.tmpdir システム・プロパティーの値は、JVM 一時ディレクトリーのパスを示します。例えば、AIX または Linux システムの場合、このファイルは /tmp/rba ディレクトリーに格納される可能性があります。
90 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
matcher のプロパティー
以下のセクションでは、すぐに使用できる各種の matcher や、カスタム matcher を作成するための JavaScript matcher に必要な構成プロパティーを示します。
IP アドレス matcher のプロパティー
IP アドレス matcher は ipaddress 属性を処理します。
ip.whitelist許可される IP アドレスまたはサブネットのコンマ区切りのリスト。
ip.whitelist.netmaskip.whitelist プロパティーにリストされている IP アドレスのネットマスクを示すコンマ区切りのリスト。
ネットマスクのリストは、ip.whitelist プロパティー内の IP アドレスのリストと同じ順序で指定する必要があります。ネットマスクの合計数は、IP アドレスの合計数と正確に一致する必要があります。
ip.blacklist許可してはならない IP アドレスのコンマ区切りのリスト。
ip.blacklist.netmaskip.blacklist プロパティーにリストされている IP アドレスのネットマスクを示すコンマ区切りのリスト。
ネットマスクのリストは、ip.blacklist プロパティー内の IP アドレスのリストと同じ順序で指定する必要があります。ネットマスクの合計数は、IP アドレスの合計数と正確に一致する必要があります。
ロケーション matcher のプロパティー
ロケーション matcher 属性は、経度、緯度、精度、および高度属性を処理します。
location.comparison属性 matcher によるロケーション座標の精度範囲の計算方法を示します。
有効値は closest、midpoint、および farthest です。
デフォルト値は、midpoint です。
location.allowable.distance新しいロケーションと過去のロケーションとの間の最大距離。
数値の単位はキロメートルです。
デフォルト値は、40 です。
ログイン時刻 matcher のプロパティー
ログイン時刻 matcher は、履歴アクセス時刻を使用して不正ユーザーの確率を決定する、動作ベースの matcher です。アクセス時刻は、リスクベース・アクセス・データベースに記録されます。
login.time.probability.threshold特定の時刻にユーザーがログインする確率を表します。
有効値は、double データ型の 0 から 1 です。
第 7 章 参照情報 91
デフォルト値は .3 です。
JavaScript matcher のプロパティー
JavaScript matcher は、javascript.attributes プロパティーの値によって指定されるすべての属性を処理します。
javascript.attributesJavaScript 属性 matcher によって処理される JavaScript 属性のコンマ区切りのリスト。
例: userLanguage,fonts,screenHeight,plugins,userAgent。
動作 matcher のプロパティーmin.usage.history.requiredこのプロパティーは、ログイン時刻 matcher などの動作 matcher に十分であると考えられる使用データ・レコード数を制御します。
デフォルト値は 8 です。使用データで 8 未満のログイン数が検出された場合、ログイン時刻 matcher は INDETERMINATE 結果を返します。つまり、重みがゼロであると見なされます。
usage.data.cap.per.userシステムがユーザーごとに格納できる使用データ・レコードの最大数。
デフォルト値は 1000 です。
パスワード難読化のプロパティー
一部のランタイム構成プロパティーは、リスクベース・アクセスによって自動的に難読化されます。例えば、プロパティー名の末尾を assword または pwd にしてプロパティーを構成した場合、そのプロパティーがデータベースに格納されると、デフォルトでは、そのプロパティーの値は難読化されます。
obfuscator.defaultデフォルト obfuscator クラスの名前を指定するプロパティーを示します。
例: Password.ClassName.MyObfuscator。
このプロパティーの値が指定されていない場合は、リスクベース・アクセスで提供されているデフォルト obfuscator が使用されます。
obfuscator.filenameobfuscator クラスが 1 つ以上含まれる Java アーカイブ (JAR) ファイルの名前。
WebSphere Application Server lib ディレクトリーでこのファイルが見つからない場合は、カスタム obfuscator がロードされます。カスタム obfuscator は、obfuscator.classname.* のような名前のプロパティーによって識別されます。最大 10 個のプロパティーを構成して、リスクベース・アクセスが使用できるさまざまなパスワード obfuscator を指定することができます。
以下に例を示します。
obfuscator.classname.MyObfuscator=com.xyz.MyObfuscatorobfuscator.classname.1=com.xyz.PasswordObfuscator1obfuscator.classname.2=com.xyz.PasswordObfuscator2obfuscator.classname.3=com.xyz.PasswordObfuscator3
92 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ポリシー情報ポイント (PIP) のプロパティーpip.attributes.user.fingerprint.countリスクベース・アクセスの UserFingerprintCountPIP によって計算されたデバイス数の属性 ID を格納します。この PIP では、特定のユーザー ID について、リスクベース・アクセス・データベースに登録されたデバイスの数が計算されます。
デフォルト値は http://security.ibm.com/attributes/subject/
registeredDeviceCount です。
pip.attributes.risk.scoreリスクベース・アクセスの RiskCalculatorPIP によって計算されたリスク・スコアの属性 ID を格納します。この PIP では、着信要求に関連付けられたリスクが計算されます。
デフォルト値は http://security.ibm.com/attributes/resource/riskScore です。
ランタイム・セキュリティー・サービスのプロパティーrtss.admin.ws.hostランタイム・セキュリティー・サービスが置かれているホストの名前。
例: rbademo.ibm.com。
rtss.admin.portランタイム・セキュリティー・サービスの管理ポート番号。
rtss.admin.wssecurity.enabledランタイム・セキュリティー・サービスに対してセキュリティーを有効にするかどうかを示します。
rtss.admin.keystore.aliasランタイム・セキュリティー・サービスの鍵ストアの別名。
rtss.admin.keystore.fileランタイム・セキュリティー・サービスの鍵ストアのファイル名。
rtss.admin.keystore.file.pwdランタイム・セキュリティー・サービスの鍵ストア・ファイルのパスワード。
rtss.admin.keystore.key.pwd鍵ストア内のランタイム・セキュリティー・サービス鍵のパスワード。
rtss.admin.keystore.typeランタイム・セキュリティー・サービス・サーバーによって使用される鍵ストアのタイプ。
rtss.admin.truststore.fileランタイム・セキュリティー・サービス・サーバーのトラストストア・ファイルのロケーション。
rtss.admin.truststore.file.pwdランタイム・セキュリティー・サービス・サーバーのトラストストアのパスワード。
rtss.admin.truststore.file.typeトラスト・ストアのタイプ。
第 7 章 参照情報 93
rtss.admin.basic.authn.username基本認証を使用してランタイム・セキュリティー・サービス・サーバーにアクセスする場合のユーザー名。
rtss.admin.basic.authn.pwd基本認証を使用してランタイム・セキュリティー・サービス・サーバーにアクセスする場合のパスワード。
policy.service.nameランタイム・セキュリティー・サービスでのポリシー・サービス名。
例: webseald-localhost-default。
サービス名は、すべてのリスクベース・アクセス・ポリシーの最上位コンテキスト ID と一致しなければなりません。WebSEAL 内のランタイム・セキュリティー・サービス外部許可サービス (EAS) からのすべての着信要求には、コンテキスト ID として WebSEAL サーバーのインスタンス名が含まれています。WebSEAL 構成ファイル内のサービス名をカスタマイズできます。この値がEAS から受け取るコンテキスト ID と一致しない場合、EAS からの着信要求にポリシーは適用されません。
リスク関連の属性リスクベース・アクセスは、さまざまな属性を使用してリスクを計算します。標準の HTTP ヘッダーから属性を取得したり、属性収集サービスを使用してセッション属性を収集したり、カスタム JavaScript を作成して属性を取り込んだりすることができます。これらの属性を使用して、ポリシーおよびポリシー情報プロバイダー(PIP) を作成またはカスタマイズします。
リスク・スコア計算は、属性に指定する重みに基づいています。 82ページの『manageRbaRiskProfile コマンド』の説明に従って、以下のリスク属性の重みを管理および構成します。 manageRbaRiskProfile コマンドを使用して属性を変更したら、WebSphere Application Server を再始動して変更内容を有効にする必要があります。
注: ${runtime_property_name} という構文が、一部の属性で使用されています。属性名は、リスクベース・アクセス・データベースの対応する構成プロパティー用に構成する値です。例えば、risk.score 構成プロパティーの値を xyzbank.risk.score
に設定した場合、属性の名前は xyzbank.risk.score になります。構成プロパティーの値を構成しない場合、指定されているデフォルト値が使用されます。
デバイス・フィンガープリント属性
標準の HTTP ヘッダーから取得される属性。
WebSEAL 構成ファイルの [azn-decision-info] スタンザで取得する属性を構成します。アクセス要求が外部許可サービス (EAS) からランタイム・セキュリティー・サービスにルーティングされる場合は、構成済み属性が提供されます。詳しくは、 28ページの『ランタイム・セキュリティー・サービス外部許可サービス』を参照してください。
以下の属性は、デバイス・フィンガープリント属性の一部の例です。
v header:Accept
94 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
v header:Accept-Charset
v header:Accept-Encoding
v header:Accept-Language
v header:Connection
v header:Host
v header:method
v header:scheme
v header:uri
v header:User-Agent
セッション属性
属性収集サービスは info.js ファイルで提供される関数を使用して、セッション属性を収集します。
アプリケーションのログイン・ページに、info.js の関数を呼び出すJavaScript コードを組み込む必要があります。例えば、WebSEAL ログイン・ページに関数呼び出しを組み込むことができます。manageRbaRiskProfile コマンドを使用して、属性と、リスク・スコア計算用のそれらの重みを構成します。
詳しくは、 34ページの『属性収集サービス』を参照してください。
以下の属性は、セッション属性の一部の例です。
v screenHeight
v screenWidth
v availableHeight
v availableWidth
v colorDepth
v cookieEnabled
v language
v platform
v userAgent
v latitude
v longitude
v accuracy
v altitude
v plugins
v fonts
${risk.score}
着信要求の計算された最終リスク・スコア。
リスクベース・アクセス用のすぐに使用できる PIP は、要求にリスク・スコアを追加します。 risk.score 属性のデフォルト値は、http://security.ibm.com/attributes/resource/riskScore です。
${fingerprints.count}
第 7 章 参照情報 95
データベースのユーザーの既存のデバイス・フィンガープリントの数。
リスクベース・アクセス用のすぐに使用できる PIP は、要求にフィンガープリント数を追加します。デフォルト値は http://security.ibm.com/
attributes/subject/registeredDeviceCount です。
urn:oasis:names:tc:xacml:1.0:action:action-id
リソースに対して実行する必要があるアクション。
通常、アクションは HTTP メソッドです (GET、POST、または OPTIONS
など)。
urn:oasis:names:tc:xacml:1.0:resource:resource-id
アクションの対象となるリソースの URI。
通常、この URI は、環境セクションの header:uri 属性と同じです。
許可資格情報属性
資格情報の対象の ID および許可機能に関する情報が含まれている属性。
資格情報属性は、ユーザーの許可資格情報内に格納されます。リスクベース・アクセスは、以下の資格情報属性を使用します。
v AUTHENTICATION_LEVEL
v azn_cred_auth_method
v azn_cred_authnmech_info
v azn_cred_authzn_id
v azn_cred_browser_info
v azn_cred_group_registry_ids
v azn_cred_group_uuids
v azn_cred_groups
v azn_cred_ip_family
v azn_cred_mech_id
v azn_cred_network_address_str
v azn_cred_network_address_bin
v azn_cred_principal_domain
v azn_cred_principal_name
v azn_cred_principal_uuid
v azn_cred_qop_info
v azn_cred_registry_id
v azn_cred_user_info
v azn_cred_version
各属性の説明については、IBM Tivoli Access Manager for e-business バージョン 6.1.1 インフォメーション・センター (http://publib.boulder.ibm.com/
infocenter/tivihelp/v2r1/topic/com.ibm.itame.doc/welcome.htm) の「Authorization
C API デベロッパーズ・リファレンス」を参照してください。「資格情報属性」を検索します。
tagvalue_login_user_name
96 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ユーザー名を記録する資格情報属性。
例: sec_master。
tagvalue_session_indexユーザー資格情報のセッション索引。
tagvalue_user_session_idユーザー資格情報のユーザー・セッション ID の名前と値。
urn:oasis:names:tc:xacml:1.0:subject:subject-id
リクエスターの ID。
データ・タイプには、ストリングまたは X500Name を使用できます。
例: cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com。
urn:oasis:names:tc:xacml:1.0:subject:group-id
リクエスターがメンバーとなっているグループ。
データ・タイプには、ストリングまたは X500Name を使用できます。
例: cn=SecurityGroup,1.3.6.1.4.1.4228.1.3=Default1,dc=ibm,dc=com。
ランタイム・セキュリティー・サービス監査属性
以下の監査属性は、ランタイム・セキュリティー・サービスのポリシー決定ポイント (PDP) によって使用されます。ポリシーの作成には使用されません。
http://rtss.tscc.ibm.com/audit/componentIdType
コンポーネントのタイプの形式および意味。
例: Application。
http://rtss.tscc.ibm.com/audit/componentType
指定されたタイプのコンポーネントのすべてのインスタンスの特徴を表す名前。
例: Application Enforcement Point。
http://rtss.tscc.ibm.com/audit/component
コンポーネント名。
例: WebSEAL Client。
http://rtss.tscc.ibm.com/audit/executionEnvironment
アプリケーションが実行されている現在の環境。
例 : localhost-Default2#[6.1.1]
第 7 章 参照情報 97
98 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
第 8 章 エラー・メッセージの解説
メッセージは、システムの操作中に発生するイベントを示します。メッセージはその目的に応じて、画面に表示されることがあります。デフォルトでは、通知メッセージ、警告メッセージ、およびエラー・メッセージはすべて、メッセージ・ログに書き込まれます。このログを後で検討することで、発生したイベントの判別、実行された修正アクションの確認、および実行されたアクションの監査を行うことができます。
以下のタイプのメッセージが使用されています。
情報メッセージ留意するに値するが、いかなる予防措置もアクションも必要ではない状態を示します。
警告メッセージ知っておく必要はあるが、必ずしもアクションが必要ではない状態が検出されたことを示します。
エラー・メッセージアクションが必要な状態が発生したことを示します。
エラー・メッセージの説明に従って、発生した可能性のある問題をトラブルシューティングします。
DPWBA0300W 一般エラーが発生しました: exception
message。
説明: 許可決定要求を処理する際にエラーが発生しました。WebSEAL ログに詳細情報が含まれている可能性があります。
管理者の応答: 詳しくは、WebSEAL ログを確認してください。
DPWBA0303E stanza name スタンザの下の必須の構成エントリー entry name が構成ファイルにありません。
説明: メッセージを参照してください。
管理者の応答: 指定された欠落エントリーを構成ファイルに追加してください。
DPWBA0304E IBM Tivoli Access Manager ポリシーを適用する必要があるかどうか判別できません: error code。
説明: IBM Tivoli Access Manager ポリシー値をブール値として構文解析しているときにエラーが発生しました。WebSEAL トレース・ログに詳細が含まれている可能性があります。
管理者の応答: IBM Tivoli Access Manager ポリシーを設定するための構成値が true または false のいずれかに設定されているようにしてください。
DPWBA0305E クラスター・マネージャーの初期化に失敗しました: error code。
説明: このエラーは、ランタイム・セキュリティー・サービス・クラスター定義の構成エントリーがないことが原因と考えられます。
管理者の応答: すべての構成エントリーが存在すること、およびそれらの値が正しいことを確認してください。
DPWBA0306E クラスター・マネージャーへのクラスターの追加に失敗しました: error code。
説明: このエラーは、ランタイム・セキュリティー・サービス・クラスター定義の構成エントリーがないことが原因と考えられます。
管理者の応答: すべての構成エントリーが存在すること、およびそれらの値が正しいことを確認してください。
© Copyright IBM Corp. 2012 99
DPWBA0307W ファイル file name に、スタンザstanza name が見つかりません。
説明: 指定されたスタンザをファイル内で検索しているときにエラーが発生しました。
管理者の応答: 指定されたスタンザが存在することを確認してください。
DPWBA0308W app_context_data キーのヘッダー・キー名がありません: key。
説明: ヘッダー・キー名 (ユーザーが LHS で指定したカスタム・ヘッダー・キー名) は、構成ファイルにありませんが、IBM Tivoli Access Manager 構造には存在します。
管理者の応答: 詳しくは、WebSEAL ログを確認してください。
DPWBA0309W 責務の認証レベルがありません:
obligation。
説明: WebSEAL の [obligations-levels-mapping] スタンザにはエントリーがありません。
管理者の応答: 欠落エントリーを追加し、その認証レベルに義務をマップするようにして、WebSEAL を再始動してください。
DPWBA0310W ランタイム・セキュリティー・サービス応答から責務 ID を取得中にエラーが発生しました。
説明: ランタイム・セキュリティー・サービスによって送信された義務 ID を正常に構文解析できませんでした。このエラーは、ランタイム・セキュリティー・サービス・サーバーまたはランタイム・セキュリティー・サービス外部許可サービス (EAS) に問題が発生したことが原因です。
管理者の応答: 問題が解決しない場合は、IBM サポートに連絡してください。
DPWBA0311W ランタイム・セキュリティー・サービスに接続できません。
説明: ランタイム・セキュリティー・サービスへのSOAP 呼び出しを実行できません。この原因としては、サービスがダウンしているか、要求の形式に誤りがあることが考えられます。
管理者の応答: ランタイム・セキュリティー・サービス・サーバーが稼働中であることを確認してください。詳しくは、WebSEAL ログも確認してください。
DPWBA0312W attribute name 属性を資格情報から抽出できませんでした。API エラー: error
string (API エラー・コード [major error
code:minor error code])
説明: 指定された属性を資格情報から抽出できませんでした。このエラーはリソースの枯渇によるものであり、一過性である可能性があります。
管理者の応答: 問題が解決しない場合は、IBM
Electronic Support の追加情報 (http://www.ibm.com/
software/sysmgmt/products/support/
index.html?ibmprd=tivman) を確認してください。
DPWBA0313E メモリーを割り振ることができません。
説明: メモリーの割り振り操作が失敗しました。
管理者の応答: マシンのメモリー制限を確認し、できれば使用可能メモリーを増やしてください。
DPWBA0314E URL が無効です。
説明: クライアント要求に、HTTP 仕様に準拠しないURL が含まれていました。
管理者の応答: クライアントからの要求を確認して、HTTP 仕様に準拠するようにしてください。
FBTRBA001E データベース・エラーが発生しました。
説明: リカバリー不能なデータベース・エラーが発生しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA002E ポリシーの管理中にエラーが発生しました。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA003E コマンド実行中にエラーが発生しました。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
DPWBA0307W • FBTRBA003E
100 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
FBTRBA005E 必須パラメーター parameter name が欠落しているか無効です。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA007E ポリシー・ファイルが存在しません。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: 存在するポリシー・ファイルを指定して、再度コマンドを実行してください。
FBTRBA008E データベース接続の作成に失敗しました。データベース構成、およびデータベース・サーバーへのネットワーク接続を確認してください。
説明: データベース接続を作成できませんでした。
システムの処置: コマンドの実行は停止されます。
管理者の応答: データベースが正しく構成されていることを確認してください。また、データベース・サーバーへのネットワーク接続が使用可能であることも確認してください。
FBTRBA009E アプリケーション・パラメーター task
or role name を変更できません。
説明: デプロイメント中に、アプリケーション・パラメーターの特定セットの検索および変更をしようとしましたが失敗しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA010E IBM Tivoli Federated Identity
Manager ランタイムがデプロイされていません。IBM Tivoli Federated Identity
Manager ランタイムをデプロイしてから続行してください。
説明: リスクベース・アクセスのランタイムでは、最初に IBM Tivoli Federated Identity Manager ランタイムをデプロイしておく必要があります。
システムの処置: コマンドの実行は停止されます。
管理者の応答: IBM Tivoli Federated Identity Manager
ランタイムをデプロイしてから続行してください。
FBTRBA011E リスクベース・アクセスのデプロイメントに失敗しました。
説明: リスクベース・アクセスのデプロイメント中にエラーが発生しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA012E IBM Tivoli Federated Identity
Manager がインストールされているディレクトリーを判別できなかったため、リスクベース・アクセスのデプロイメントに失敗しました。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA013E ランタイム・セキュリティー・サービスの EAR が次の場所に見つからないため、リスクベース・アクセスのデプロイメントに失敗しました: RTSS Ear path。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA014E 次の構成ディレクトリーを作成できなかったため、リスクベース・アクセスのデプロイメントに失敗しました:
Configuration Directory。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA017E 構成リポジトリー・ディレクトリーを判別できなかったため、リスクベース・アクセスのデプロイメントに失敗しました。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA005E • FBTRBA017E
第 8 章 エラー・メッセージの解説 101
FBTRBA018E ランタイム・セキュリティー・サービスのアーカイブ・ファイルが次の場所に見つからないため、リスクベース・アクセスのデプロイメントに失敗しました: RTSS
archive path。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA019E リスクベース・アクセスのランタイム・セキュリティー・サービス・プラグインのディレクトリーが次の場所に見つからないため、リスクベース・アクセスのデプロイメント・タスクが失敗しました: rba
plugins path。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA020E 必要なファイルが次の場所に見つからないため、リスクベース・アクセスのデプロイメントに失敗しました: path to file。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA021E リスクベース・アクセスの再デプロイメント中にエラーが発生しました。詳しくはアプリケーション・サーバー・ログを確認してください。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA028E 応答ファイルの非直列化に失敗しました。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: XML 応答ファイルを調べて、それが有効であることを確認し、再試行してください。
FBTRBA029E リスクベース・アクセスの JavaScript
ディレクトリーが次の場所に見つからないため、リスクベース・アクセスのデプロイメントに失敗しました: rbajavascript
path。
説明: メッセージを参照してください。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA049E ランタイム・プロパティーac.request.server が構成されていません。
説明: クロスドメイン AJAX 要求を行うには、ランタイム・プロパティー ac.request.server が構成されている必要があります。
システムの処置: HTTP 応答に CORS ヘッダーが設定されていません。
管理者の応答: ランタイム・プロパティーac.request.server. を構成してください。
FBTRBA057E 属性ストリングのフォーマットが正しくありません。
説明: 属性のフォーマットは key=value とし、指定の区切り文字またはパーセント記号 (%) で区切る必要があります。
システムの処置: コマンドの実行は停止されます。
管理者の応答: 属性ストリングが正しいフォーマットになるようにしてください。
FBTRBA058E 属性名 name は無効であるため、構成されません。
説明: この属性が構成されていないため、属性の検証に失敗しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: 属性を構成してください。
FBTRBA060E ポリシーが location にエクスポートされませんでした。
説明: ポリシーを指定の場所にエクスポートするときにエラーが発生しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA018E • FBTRBA060E
102 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
FBTRBA061E XACML ルール・ファイルの構文解析中にエラーが発生しました。
説明: XACML ルール・ファイルを正常に構文解析できませんでした。構文が誤っている可能性があります。
システムの処置: コマンドの実行は停止されます。
管理者の応答: XACML ルール・ファイルの構文を確認して、再試行してください。また、サーバー・ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA062E 不明な操作 operation name が指定されています。
説明: ユーザーによって、無効な操作が指定されています。
システムの処置: コマンドの実行は停止されます。
管理者の応答: 資料の説明に従い、正しい操作を指定してコマンドを実行してください。
FBTRBA065E 構成の再ロードに失敗しました。
説明: 再ロードの試行中に、サブコンポーネントがエラーを返しました。
システムの処置: コマンドの実行は停止されます。
管理者の応答: ログで詳細を確認し、エラーの原因を追跡してください。
FBTRBA066E デバイス ID が無効です。
説明: デバイス ID のフォーマットが正しくありません。これは整数値である必要があります。
システムの処置: コマンドの実行は停止されます。
管理者の応答: デバイス ID を確認してください。
FBTRBA069E 属性 id の型が指定されていません。
説明: 属性を参照するには、属性とその型を事前に指定しておく必要があります。有効な型は、integer、double、string、time、または date です。
システムの処置: コマンドの実行は停止されます。
管理者の応答: 属性の型を XACML ルール・ファイルで指定してください。
FBTRBA075E IBM Tivoli Security Policy Manager によってランタイム・セキュリティー・サービスがインストールされたため、operation
操作は許可されません。
説明: ランタイム・セキュリティー・サービスは IBM
Tivoli Security Policy Manager によってデプロイされま
した。そのため、ポリシーの作成および削除は IBM
Tivoli Security Policy Manager を使用して行う必要があります。
システムの処置: コマンドの実行は停止されます。
管理者の応答: ポリシーの作成、削除、または更新にはIBM Tivoli Security Policy Manager を使用してください。
FBTRBA077E サービス名がありません。サービス名を指定するには、-serviceName パラメーターを使用するか、serviceNameConfigPropertyName をリスクベース・アクセスの構成に追加してください。
説明: デフォルトのサービス名が構成されておらず、また、値が serviceName パラメーター経由で指定されていませんでした。
システムの処置: コマンドの実行は停止されます。
管理者の応答: デフォルトのサービス名をリスクベース・アクセスの構成に追加するか、あるいは、serviceName パラメーターを使用してサービス名を指定してください。
FBTRBA078E リスクベース・アクセスの matcher ディレクトリーがロケーション rba
matchers path で見つからなかったため、リスクベース・アクセスのデプロイメント・タスクが失敗しました。
説明: リスクベース・アクセスのデプロイメントは、エラーが発生したため続行できませんでした。
システムの処置: リスクベース・アクセスのデプロイメント・タスクは停止されます。
管理者の応答: システム・ログで詳細を確認し、リスクベース・アクセスのインストール・ステップが完了するようにしてください。
FBTRBA061E • FBTRBA078E
第 8 章 エラー・メッセージの解説 103
104 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
特記事項
本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM
の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。
IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。
〒103-8510
東京都中央区日本橋箱崎町19番21号日本アイ・ビー・エム株式会社法務・知的財産知的財産権ライセンス渉外
以下の保証は、国または地域の法律に沿わない場合は、適用されません。
IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。
国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。
この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。
本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。
IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。
© Copyright IBM Corp. 2012 105
本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。
IBM Corporation
2Z4A/101
11400 Burnet Road
Austin, TX 78758 U.S.A.
本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。
本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。
この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。
IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。
IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。
表示されている IBM の価格は IBM が小売り価格として提示しているもので、現行価格であり、通知なしに変更されるものです。卸価格は、異なる場合があります。
本書はプランニング目的としてのみ記述されています。記述内容は製品が使用可能になる前に変更になる場合があります。
本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。
著作権使用許諾:
本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラット
106 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
フォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。
この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。
商標
IBM、IBM ロゴおよび ibm.com® は、世界の多くの国で登録された International
Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml をご覧ください。
Adobe、PostScript は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。
IT Infrastructure Library は英国 Office of Government Commerce の一部である the
Central Computer and Telecommunications Agency の登録商標です。
インテル、Intel、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Centrino、Intel Centrino
ロゴ、Celeron、Xeon、Intel SpeedStep、Itanium、および Pentium は、Intel
Corporation または子会社の米国およびその他の国における商標または登録商標です。
Linux は、Linus Torvalds の米国およびその他の国における商標です。
Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation
の米国およびその他の国における商標です。
ITIL は英国 The Minister for the Cabinet Office の登録商標および共同体登録商標であって、米国特許商標庁にて登録されています。
UNIX は The Open Group の米国およびその他の国における登録商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。
Cell Broadband Engine は、Sony Computer Entertainment, Inc. の米国およびその他の国における商標であり、同社の許諾を受けて使用しています。
特記事項 107
Linear Tape-Open、LTO、LTO ロゴ、Ultrium および Ultrium ロゴは、HP、IBM
Corp. および Quantum の米国およびその他の国における商標です。
108 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
用語集この用語集には、リスクベース・アクセスの用語と定義が収録されています。
この用語集では以下の相互参照が使用されています。
v 「を参照」は、該当する用語に対する優先される同義語を示したり、頭字語または省略語に対する定義済みの完全な形を示したりします。
v 「も参照」は、関連する用語または対比される用語を示します。
他の IBM 製品の用語集を表示するには、www.ibm.com/software/globalization/terminology にアクセスしてください。(新しいウィンドウ内で開きます)。
Aアクセス・コントロール (access control)
コンピューター・セキュリティーにおいて、ユーザーが、自分に許可されたコンピューター・システムのリソースのみにアクセスできるようにするためのプロセス。
アクセス・コントロール・リスト (ACL) (accesscontrol list (ACL))
コンピューター・セキュリティーにおいて、オブジェクトにアクセスできるすべてのサブジェクトおよびそれらのアクセス権限を識別する、オブジェクトに関連したリスト。
ACL 「アクセス・コントロール・リスト(access control list)」を参照。
属性 (attribute)エンティティーを記述する、エンティティーの特性または特徴。「リスク関連属性(risk-related attribute)」も参照。
属性構成 (attribute configuration)リスクベース・アクセスにおいて、リスク属性の重みを指定し、その属性がリスク計算に必要かどうかを示す、リスク属性の構成。「リスク関連属性 (risk-related
attribute)」も参照。
属性リスト (attribute list)権限を決定するための拡張情報が入ったリンク・リスト。属性リストは、一連のキーと値のペアで構成される。
属性収集サービス (attribute collection service)リスクベース・アクセスにおいて、Web
ブラウザーおよびロケーションの情報をユーザーから収集する Representational State
Transfer (REST) サービス。
属性 matcher (attribute matcher)リスクベース・アクセスにおいて、着信デバイス・フィンガープリントの属性値を、ユーザーの既存のデバイス・フィンガープリントと比較する機能。リスクベース・アクセスに付属していて、すぐに使用できる属性 matcher としては、ロケーションmatcher、IP アドレス matcher、およびログイン時刻 matcher がある。
監査イベント (audit event)監査ログ内の操作記録、または変更履歴。例えば、属性またはプロパティーが変更されると監査項目が作成される。
監査ログ (audit log)システム・イベントおよび応答のレコードが含まれるログ・ファイル。監査ログには、メタデータまたは構成データを変更する重大な操作 (正常に完了しなかった操作も含む) の履歴が保持される。
認証 (authentication)コンピューター・セキュリティーにおいて、ID を検証して、コンピューター・システムのユーザーが本当にそのユーザー本人であるという証明を提供するプロセス。このサービスを実装するための一般的なメカニズムは、パスワードとデジタル署名である。認証は許可と区別される。許可はリソースへのアクセスの認可および拒否に関連する。
許可 (authorization)オブジェクト、リソース、または機能に対する完全なアクセス権または制限付きアク
© Copyright IBM Corp. 2012 109
セス権をユーザー、システム、またはプロセスに付与するプロセス。
許可ポリシー生成言語 (authorization policygeneration language)
リスクベース・アクセスにおいて、スクリプトにポリシー・ルールを指定する簡易形式。リスクベース・アクセスの許可ポリシーを生成するのに使用できる。
許可サービス (authorization service)動的または共用ライブラリーの 1 つ。初期設定時に許可 API ランタイム・クライアントによってロードすることができる。許可 API 内でサービス・インターフェースを拡張する操作に使用される。
自動デバイス登録 (automatic device registration)「サイレント・デバイス登録 (silent device
registration)」を参照。
Bバッチ操作 (batch operation)
システムに投入される処理アクションの事前定義グループ。ユーザーとシステムの間の対話はほとんど、または全く行われずに、アクションが実行される。
動作パターン (behavioral pattern)リスクベース・アクセスにおいて、ユーザーの履歴アクセス・データから導出されるパターン。例えば、特定のユーザーが平日の勤務時間中のみ定期的に保護リソースにアクセスすることを、動作パターンで示すことができる。
Cチャレンジ (challenge)
システムに対する特定の情報の要求。この要求に対して返信される情報が、認証には必要である。
クラスパス (class path)プログラムが実行時に動的にロードできるリソース・ファイルまたは Java クラスを含むディレクトリーおよび JAR ファイルのリスト。
構成プロパティー (configuration property)リスクベース・アクセスにおいて、リスク
ベース・アクセスの各種コンポーネントの構成を指定するプロパティー。例えば、プロパティーを使用して、データベース、属性収集サービス、ランタイム・セキュリティー・サービス、および属性 matcher が構成される。
承認ベースのデバイス登録 (consent-based deviceregistration)
リスクベース・アクセスにおいて、ユーザーがデバイスの登録を承認する場合にのみデバイス・フィンガープリントを登録するプロセス。リスクベース・アクセス・ポリシーは、デバイスが登録される前にユーザーの承認を求める HTML フォームを提示するよう構成できる。
cookie サーバーがクライアント・システム上に保管し、以降のセッションのときにアクセスする情報。Cookies を使用すると、サーバーはクライアントに関する特定の情報を覚えておくことができる。
相関 ID (correlation ID)Cookie に保管される UUID。
資格情報 (credentials)認証時に獲得される詳細情報であり、ユーザー、グループの関連付け、およびその他のセキュリティー関連の識別属性が記述されている。例えば、ユーザー ID とパスワードは、ネットワーク・リソースやシステム・リソースへのアクセスを可能にする資格情報である。
Dデータ・ソース (data source)
アプリケーションがデータベースからのデータにアクセスするための手段。
DB2 リレーショナル・データベース管理用のIBM ライセンス・プログラム・ファミリー。
非武装地帯 (DMZ) (demilitarized zone (DMZ))複数のファイアウォールを組み込むことによって、企業のイントラネットと公衆網(インターネットなど) の間に保護レイヤーを追加した構成。
110 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
デプロイ (deploy)稼働環境に、ファイルを配置したり、ソフトウェアをインストールしたりすること。Java Platform, Enterprise Edition (Java EE)
では、デプロイ対象となるアプリケーションのタイプに適したデプロイメント記述子の作成もデプロイに含まれる。
デバイス・フィンガープリント (devicefingerprint)
リスクベース・アクセスにおいて、デバイスから受け取る要求に含まれている一連の属性。デバイス・フィンガープリントは、ユーザー ID と、特定ユーザーを識別する一連の属性のキーと値のペアで構成される。
デバイス登録 (device registration)リスクベース・アクセスにおいて、着信デバイス・フィンガープリントをデータベースに格納するプロセス。「デバイス・フィンガープリント (device fingerprint)」も参照。
DMZ 「非武装地帯 (demilitarized zone)」を参照。
ドメイン (domain)
1. 他のオブジェクトが含まれているオブジェクト、アイコン、またはコンテナー。含まれているこれらのオブジェクトは、ドメインのリソースを表す。ドメイン・オブジェクトを使用すると、これらのリソースを管理することができる。
2. 共通管理を行うための、ネットワーク内リソースの論理グループ化。例えば、WebSphere Application Server 上のTivoli Federated Identity Manager ランタイム・コンポーネントのデプロイメント。
EEAS 「外部許可サービス (external authorization
service)」を参照。
エレメント (element)マークアップ言語において、開始タグ、終
了タグ、属性とその値、および開始タグと終了タグの間のテキストから成る基本単位。
イベント (event)システム・リソース、ネットワーク・リソース、またはネットワーク・アプリケーションの状態について、何らかの重大な変更。イベントは、問題、問題の解決、またはタスクの正常終了に対して生成される。
eXtensible Access Control Markup Language(XACML)
アクセス制御ポリシー言語の標準。リソースへのアクセスを管理するために XML
で定義される構文を提供する。
Extensible Markup Language (XML)Standard Generalized Markup Language
(SGML) を基にした、マークアップ言語を定義するための標準メタ言語。
外部許可サービス (EAS) (external authorizationservice (EAS))
許可決定チェーンの一部として、アプリケーションまたは環境固有の許可決定を行うために使用される Authorization API ランタイム・プラグイン。リスクベース・アクセスでは、ランタイム・セキュリティー・サービス EAS プラグインを使用してポリシー決定を適用する。
Fフェイルオーバー (failover)
ソフトウェア、ハードウェア、またはネットワークの中断が発生した場合に、システムを冗長システムまたはスタンバイ・システムに切り替える自動操作。
フィックスパック (fix pack)出荷スケジュールが決められたリフレッシュ・パック、製造リフレッシュ、またはリリースの間に提供される、累積フィックスがまとめられたもの。これは、お客様が特定の保守レベルに移行できるようにすることを目的としている。
用語集 111
Hハッシュ (hash)
コンピューター・セキュリティーにおいて、送信されたメッセージが完全な状態で到着したことを保証するために使用される、テキスト・ストリングから生成された数値。
ハッシング (hashing)比較のために、文字ストリングを固定長ビット・ストリングとしてエンコードするプロセス。
ホスト名 (host name)インターネット通信において、コンピューターに付けられた名前。ホスト名は、mycomputer.city.company.com のような完全修飾ドメイン名にすることも、mycomputer
のような特定のサブネームにすることもできる。
HTTP 「Hypertext Transfer Protocol」を参照。
Hypertext Transfer Protocol (HTTP)インターネット・プロトコル・スイートで、文書の転送と表示に使用されるプロトコル。
IID Java 言語で記述されたプログラム内のア
イテムの名前。
インターネット・プロトコル (IP) (Internetprotocol (IP))
インターネット・プロトコル・スイートで、データをネットワークまたは相互接続ネットワーク内で経路指定するコネクションレス・プロトコル。 IP は、高位プロトコル層と物理ネットワークとの間の仲介として機能する。
IP 「インターネット・プロトコル (internet
protocol)」を参照。
JJava Database Connectivity (JDBC)
Java プラットフォームと広範なデータベースとの間の、データベースに依存しない接続の業界標準。JDBC インターフェース
は、SQL ベースおよび XQuery ベースのデータベース・アクセスのための Call
Level Interface を提供する。
Java Naming and Directory Interface (JNDI)異機種混合のネーミング・サービスおよびディレクトリー・サービスに標準インターフェースを提供する、Java プラットフォームの拡張機能。
JDBC 「Java Database Connectivity」を参照。
JNDI 「Java Naming and Directory Interface」を参照。
junction1 つのサーバーから別のサーバーにパスを確立するために作成される論理接続。
Kキーと値のペア (key-value pair)
対のセットとして表現される情報。
Nネーミング・サービス (naming service)
Java Naming and Directory Interface (JNDI)
標準の実装。
Oオブジェクト (object)
オブジェクト指向設計またはプログラミングにおいて、データおよびデータに関連した操作から構成される、クラスの具体的な実現 (インスタンス)。オブジェクトはクラスで定義されたインスタンス・データを含むが、クラスはデータに関連した操作を所有する。
ワンタイム・パスワード (OTP) (one-timepassword (OTP))
1 つのログイン・セッションまたはトランザクションに対して有効なパスワード。
OTP 「ワンタイム・パスワード (one-time
password)」を参照。
112 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
PPDP 「ポリシー決定ポイント (policy decision
point)」を参照。
PEP 「ポリシー適用ポイント (policy
enforcement point)」を参照。
許可 (permission)ローカル・ファイルの読み取りや書き込み、ネットワーク接続の作成、ネイティブ・コードのロードなどのアクティビティーについての許可。
永続 (persist)セッション境界を超えて保持されること。通常は、データベース・システムやディレクトリーなどの不揮発性ストレージに保持される。
持続性 (persistence)セッション境界を超えて保持される、データの特性。データの持続性は通常、データベース・システムなどの不揮発性ストレージで有効となる。
PIP 「ポリシー情報ポイント (policy
information point)」を参照。
プラグイン (plug-in)既存のプログラム、アプリケーション、またはインターフェースに機能を追加する、個別にインストール可能なソフトウェア・モジュール。
ポリシー (policy)
1. 管理対象リソースまたはユーザーの動作に影響を与える一連の考慮事項。
2. その評価結果によってアクセス決定が判断される、一連の条件。
ポリシー決定ポイント (PDP) (policy decisionpoint (PDP))
アクセス要求の結果を評価し、判断する、ポリシー決定コンポーネント。
ポリシー適用ポイント (PEP) (policy enforcementpoint (PEP))
要求を受け取り、その要求をポリシー決定ポイントに通知して、決定を受け取り、その決定を適用する、ポリシー決定コンポーネント。
ポリシー生成言語 (policy generation language)「許可ポリシー生成言語 (authorization
policy generation language)」を参照。
ポリシー情報ポイント (PIP) (policy informationpoint (PIP))
要求に関する追加情報を提供する、ポリシー決定コンポーネント。
POP 「保護オブジェクト・ポリシー (protected
object policy)」を参照。
ポート (port)Web サービス記述言語 (WSDL) の資料に定義されているように、バインディングとネットワーク・アドレスの組み合わせとして定義される単一エンドポイント。
ポート番号 (port number)インターネット通信における、アプリケーション・エンティティーとトランスポート・サービスとの間の論理結合子の ID。
プロファイル (profile)ユーザー、グループ、リソース、プログラム、デバイス、またはリモート・ロケーションの特性を記述したデータ。
プロパティー (property)オブジェクトについて記述している、当該オブジェクトの特性。プロパティーは変更可能である。プロパティーは、特にオブジェクト名、タイプ、値、または動作についての記述ができる。
保護オブジェクト・ポリシー (POP) (protectedobject policy (POP))
保護オブジェクトにアクセスするためのACL ポリシーによって許可される操作に追加の条件を課す、セキュリティー・ポリシー。POP 条件を適用するのは、リソース・マネージャーの役割である。
プル (pull)リソースからアクションを要求することによって、そのアクションを開始するネットワーク操作。
プッシュ (push)情報をリソースに送信するネットワーク操作。
用語集 113
Rリポジトリー (Repository)
データおよびその他のアプリケーション・リソース用の永続ストレージ域。
Representational State Transfer (REST)ワールド・ワイド・ウェブなどの分散ハイパーメディア・システム向けソフトウェア・アーキテクチャー・スタイル。REST
は、SOAP などの追加メッセージング層なしで XML (または YAML、JSON、プレーン・テキスト) over HTTP を使用する、単純なインターフェースである。「RESTful」も参照。
応答ファイル (response file)コンポーネントのアクションをあらかじめ定めた方法で制御するために使用されるパラメーターや値などの事前定義値を含むファイル。例えば、リスクベース・アクセスにおいて、コマンドの XML 応答ファイルには、通常であればコマンド行で指定するような情報が含まれる。
REST 「Representational State Transfer (REST)」を参照。
RESTfulRepresentational State Transfer (REST) 制約に準拠するアプリケーションおよびサービスに関するもの。「Representational
State Transfer (REST)」も参照。
リスクベース・アクセス (risk-based access)プラグ可能で、かつ構成可能な IBM
Tivoli Access Manager for e-business のコンポーネント。リスクベース・アクセスにより、トランザクションの動的リスク・アセスメントまたは信頼性レベルに基づいて、アクセスの決定と適用が行われます。
リスク関連属性 (Risk-related attribute)リスクベース・アクセスにおいて、リスク・スコア計算に使用される属性。リスク関連属性は HTTP ヘッダーから収集され、属性収集サービスまたはカスタムJavaScript を使用して取り込まれる。
リスク・スコア (risk score)リスクベース・アクセスにおいて、保護リソースへのアクセス要求に関連付けられたリスクの量を表す数値。リスク・スコア
は、デバイスを使用しているユーザーが実際に認証されているユーザーであるかについての信頼性レベルを示す。リスク・スコアは、1 から 100 までの尺度で計算される。リスク・スコアにより、保護リソースへのアクセスが許可されるか、拒否されるか、または追加の認証証明により許可されるかが決まる。
ランタイム (run time)コンピューター・プログラムが実行されている期間。
ランタイム環境 (runtime environment)アプリケーション開発キット (ADK) のサブセットで、プラットフォームの作動環境を構成する実行可能ファイルおよびその他のサポート・ファイルを含む。
ランタイム・セキュリティー・サービス (runtimesecurity services)
ポリシー決定ポイント、ポリシー適用ポイント、およびポリシー配布ターゲット (構成内容によって異なる) の機能を実行できるソフトウェア・コンポーネント。
ランタイム・セキュリティー・サービス EAS(runtime security services EAS)
リスクベース・アクセスにおいて、ポリシー適用ポイント (PEP) 機能を提供するプラグイン。
ルール (rule)ポリシーの評価で使用される条件。
Sスキーマ (schema)
データベース、ディレクトリー、またはファイルに保管されたデータの構造を完全に記述する、データ定義言語で表現されたステートメントの集合。スキーマは、データベース・オブジェクトの論理的な分類を提供する。
スクリプト (script)ファイル内で結合された、一連のコマンド。そのファイルが実行されると、特定の機能を実行する。スクリプトは、実行時に解釈される。
114 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
2 次チャレンジ (secondary challenge)リスクベース・アクセスにおいて、リスク・スコアが高い場合に、認証のためにユーザーに対して行われる追加チャレンジ。「チャレンジ (challenge)」も参照。
セキュリティー (security)偶発または故意の破壊、損傷、または機密漏れからデータ、システム操作、およびデバイスを保護すること。
セキュリティー・ポリシー (security policy)コンピューター・システムに対して制定したセキュリティー管理を定義する、明文化された文書。セキュリティー・ポリシーには、こうした管理によって最小化しようとするリスクと、何者かがセキュリティー管理を侵害した場合に実行する必要のあるアクションを記述する。
サービス (service)アクセス要求の対象であり、ポリシーによって保護することができるリソース (Web
サービスなど)。
セッション (session)Java EE において、Web アプリケーションとのユーザーの対話を複数の HTTP 要求にわたって追跡するためにサーブレットによって使用されるオブジェクト。セッションは、同じブラウザーで同じユーザーから発生する、サーバーまたはアプリケーションへの一連の要求で構成される。
セッション属性 (session attribute)リスクベース・アクセスにおいて、属性収集サービスがユーザー・セッション中に取り込む属性。セッション属性は、ユーザーのデバイスが登録されるときにリスクベース・アクセス・データベースに格納される。
共用ライブラリー・ファイル (shared library file)Java Native Interface (JNI) ライブラリーをロードするためのシンボル名、Java クラス・パス、およびネイティブ・パスから構成されるファイル。このファイルと同じノード上にデプロイされたアプリケーションは、この情報にアクセスできる。
サイレント・デバイス登録 (silent deviceregistration)
リスクベース・アクセスにおいて、ユーザ
ーが 2 次チャレンジで正常に認証された後にデバイス・フィンガープリントを登録するプロセス。サイレント登録では、ユーザーによる対話や承認は一切必要ありません。「2 次チャレンジ (secondary
challenge)」、「デバイス登録 (device
registration)」、および「承認ベースのデバイス登録 (consent-based device
registration)」も参照。
SOAP 非集中型の分散環境で情報を交換するための、XML ベースの軽量プロトコル。SOAP を使用すると、インターネット経由で情報を照会して返したり、サービスを呼び出したりできる。
スタンザ (stanza)ファイル内の行のグループで、まとまりとして共通機能を持つか、またはシステムの一部を定義するもの。スタンザはブランク行またはコロンで分離され、各スタンザに名前がある。
ステップアップ認証 (step-up authentication)事前に構成された認証レベル階層に依存する保護オブジェクト・ポリシー (POP)。リソースに設定されたポリシーに従って、特定のレベルの認証を適用する。ステップアップ認証 POP では、リソースにアクセスするための複数の認証レベルでの認証をユーザーに強制しない。ユーザーには、少なくともリソースを保護するポリシーが必要とするレベルと同じ高さのレベルで認証が求められる。「保護オブジェクト・ポリシー (protected object policy)」も参照。
ストリング (string)プログラミング言語において、テキストの格納および操作に使用されるデータの形式。
構文 (syntax)コマンドまたはステートメントを構築する際の規則。
Tターゲット (target)
アクションまたは操作の宛先。
用語集 115
スループット (throughput)一定期間にわたってデバイスが実行する作業量の指標。例えば、1 日当たりのジョブ数。
トークン (token)ネットワークを介した伝送の許可または一時的な制御を示す、特定のメッセージまたはビット・パターン。
UUniform Resource Identifier (URI)
1. 抽象リソースや物理リソースを識別するための、簡潔な文字ストリング。
2. Web 上のコンテンツ (例えば、テキストのページ、ビデオ、音声クリップ、画像、プログラムなど) を識別するために使用される、固有のアドレス。URI の最も一般的な形式は Web ページ・アドレスであり、これは Uniform
Resource Locator (URL) と呼ばれるURI の特定の形式、つまりサブセットである。標準的な URI には、リソースへのアクセス方法、リソースを含むコンピューター、およびリソースの名前が記述されている。
Uniform Resource Locator (URL)インターネットなどのネットワーク内でアクセス可能な、情報リソースの固有のアドレス。URL には、情報リソースにアクセスするために使用される、プロトコルの省略名が含まれる。また URL には、情報リソースの場所を検索するためにプロトコルが使用する情報も含まれる。
Uniform Resource Name (URN)クライアントに対し Web サービスを一意的に識別する名前。
Universally Unique Identifier (UUID)2 つのコンポーネントが同じ ID にならないようにするために使用される、128 ビットの数値 ID。
URI 「Uniform Resource Identifier」を参照。
URL 「Uniform Resource Locator」を参照。
URN 「Uniform Resource Name」を参照。
UUID 「Universally Unique Identifier」を参照。
V変数 (variable)
変更可能な値を表現したもの。
WWeb アプリケーション (web application)
Web ブラウザーでアクセス可能であり、情報を静的に表示する以上の機能を提供するアプリケーション。Web アプリケーションの一般的なコンポーネントとしては、HTML ページ、JSP ページ、サーブレットなどがある。
Web サーバー (web server)Hypertext Transfer Protocol (HTTP) 要求を処理できるソフトウェア・プログラム。
Web サービス (web service)標準ネットワーク・プロトコルを使用してネットワーク上で公開、ディスカバー、および呼び出しができる、内蔵タイプの自己記述型モジュラー・アプリケーション。一般に、データのタグ付けには XML が使用され、データの転送には SOAP が使用される。使用可能なサービスの記述にはWSDL が使用され、使用可能なサービスのリスト表示には UDDI が使用される。
WebSEAL保護オブジェクト・スペースにセキュリティー・ポリシーを適用する、高性能のマルチスレッド Web サーバー。 WebSEAL
は、シングル・サインオン・ソリューションを提供でき、バックエンド Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーの中に取り込むことができる。
重み (weight)リスクベース・アクセスにおいて、属性に割り当てられる数値。属性の重みは、その属性のリスク面での重要性を示しており、リスク・スコア計算に使用される。
XXACML
「eXtensible Access Control Markup
Language」を参照。
116 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
XML 「Extensible Markup Language」を参照。
用語集 117
118 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。
[ア行]アクセシビリティー x
アンインストール 18
インストール前提条件 12
ソフトウェア要件 11
手順 15
デプロイメント 16
応答ファイル (response file)
manageRbaConfiguration コマンド 75
manageRbaPolicy コマンド 81
manageRbaRiskProfile コマンド 85
重みmanageRbaRiskProfile コマンド 82
応答ファイル 85
[カ行]外部許可サービス (EAS)
定義 4
外部許可サービス (EAS) (external
authorization service (EAS))
ランタイム・セキュリティー・サービス外部許可サービス (EAS) 28, 32
リスクベース・アクセス 28
ログとトレース、使用可能化 22
rtss-eas スタンザ 32
カスタム matcher 46
監査構成 63
使用可能化 63
設定 63
定義 63
ログ最大サイズ 63
最大数 63
サンプル 64
ファイル名 63
フォーマット 64
ランタイム・セキュリティー・サービス外部許可サービス(EAS) 63, 64
location 63
完全一致 matcher 41
許可 ポリシー作成 52
許可ポリシー言語 48, 51
構成 52
構成のプロパティー 52
サンプル 51
スクリプト 48, 51, 52
ルール 48, 51
研修 x
構成アプリケーション・ログイン・ページ
37
監査ログ 63
検証 23
セッション属性 25, 38
manageRbaSessions コマンド 85
属性 21
セッション属性 85
manageRbaRiskProfile コマンド 82
manageRbaSessions コマンド 85
属性 matcher 25, 38, 41, 43, 44
属性収集サービス (attribute collection
service) 21, 37
属性の重み 25, 38
manageRbaRiskProfile コマンド 82
データベース 13, 14, 21
データベース・スキーマ 13, 14
デバイス登録 75
フィンガープリント 75
manageRbaDevices コマンド 75
トレース 21
ハッシュ・アルゴリズム 21, 47
プロパティーセッション 87
属性 87
属性 matcher 87
データベース 87
ランタイム・セキュリティー・サービス 87
ロケーション matcher 87
IP アドレス matcher 87
manageRbaConfiguration コマンド69
ポリシー 21, 52
manageRbaPolicy コマンド 78
ユーザーあたりのデバイス数 60
ランタイム・セキュリティー・サービス外部許可サービス (EAS) 21, 32
構成 (続き)
リスクベース・アクセス・ポリシー52
リスク・スコア計算 38
リスク・プロファイル 25
ログ 21
ログイン時刻 matcher 38, 44
ログとトレース、使用可能化 22
ロケーション matcher 38, 41
HTTP ヘッダーからの属性 38
IP アドレス matcher 38, 43
manageRbaConfiguration コマンド応答ファイル 75
コマンドmanageRbaConfiguration 69
応答ファイル 75
manageRbaDevices 75
manageRbaPolicy 78
応答ファイル 81
manageRbaRiskProfile 82
応答ファイル 85
manageRbaSessions 85
[サ行]サイレント・デバイス登録 58
サンプル・ポリシー 59
サンプル監査ログ 64
サイレント登録 59
承認ベースの登録 59
スクリプト 51
ポリシー 51
ポリシーの生成言語 51
ポリシーのルール 51
ランタイム・セキュリティー・サービス外部許可サービス (EAS)
rtss-eas スタンザ 32
ランタイム・セキュリティー・サービス外部許可サービス (EAS) の監査レコード 64
リスクベース・アクセス・ポリシー51
資格情報属性 94
承認ベースのデバイス登録 58
承認ベースのデバイス登録 (consent-based
device registration)
サンプル・ポリシー 59
資料アクセス、オンライン ix
© Copyright IBM Corp. 2012 119
資料 (続き)
本製品用のリスト ix
スキーマデータベース 13, 14
データベース・スキーマ 13, 14
セッション構成 87
構成のプロパティー 87
属性 94
セッション属性構成 38
属性収集サービス (attribute collection
service) 34, 37
ロケーション属性 34
manageRbaSessions コマンド 85
Web ブラウザー属性 34
前提条件 12
属性重み 38
構成 38, 87
構成のプロパティー 87
資格情報 94
持続性 40, 82
ストレージ 40, 82
セッション 25, 40, 82, 94
セッション属性manageRbaSessions コマンド 85
定義 94
デバイス・フィンガープリント 40,
82
デバイス・フィンガープリント (device
fingerprint) 25, 94
動作 25, 40, 82
ランタイム・セキュリティー・サービス 94
manageRbaRiskProfile コマンド 82
応答ファイル 85
tagvalue 94
属性 matcher
カスタム matcher 46
完全一致 matcher 41
構成 38, 87
構成のプロパティー 87
定義 41
デフォルト属性 matcher 41
ログイン時刻 matcher
構成 44
ロケーション matcher
構成 41, 87
構成のプロパティー 87
IP アドレス matcher
構成 43, 87
構成のプロパティー 87
属性収集サービス (attribute collection
service)
構成アプリケーション・ログイン・ページ 37
セッション属性 37
JavaScript 関数 37
セッション属性 34
定義 4, 34
要求タイプDELETE 34
POST 34
JavaScript 関数deleteSession() 34
getLocation() 34
sendSession() 34
属性の重み構成 38
属性比較 41
ソフトウェア要件 11
[タ行]データベース構成 13, 14, 87
構成のプロパティー 87
デバイスサイレント登録 58, 59
承認ベースの登録 58, 59
登録 58, 59, 75
サイレント 23
ユーザーあたりのデバイス数 60
ワンタイム・パスワード 23
2 次チャレンジ 23
フィンガープリント 58, 59, 75
完全一致 25
属性 94
着信 25
定義 25
登録済み 25
部分一致 25
manageRbaDevices コマンド 75
デフォルト属性 matcher 41
デプロイメント 16
登録済みデバイスのリスト表示 23, 75
トラブルシューティング x
回避策 19
既知の問題 19
ロケーション属性 19
[ハ行]ハッシュ・アルゴリズム構成 47
プロパティー構成 87
セッション 87
属性 87
属性 matcher
ロケーション matcher 87
IP アドレス matcher 87
データベース 87
ランタイム・セキュリティー・サービス 87
manageRbaConfiguration コマンド 69
応答ファイル 75
ポリシー構成 52
構成のプロパティー 52
作成 52
サンプル 51
スクリプト 52
生成言語 48, 51
リスクベース・アクセス (risk-based
access) 48, 51
ルール 48, 51
manageRbaPolicy コマンド 78
応答ファイル 81
ポリシー管理ポイント (PAP)
定義 4
ポリシー決定ポイント (PDP)
定義 4
ポリシー情報ポイント (PIP)
定義 4
ポリシー適用ポイント (PEP)
定義 4
[マ行]問題判別 x
[ヤ行]ユーザーあたりのデバイス数構成 60
用語集 ix, 109
[ラ行]ランタイム・セキュリティー・サービス構成 87
構成のプロパティー 87
属性 94
ログとトレース、使用可能化 22
ランタイム・セキュリティー・サービス外部許可サービス (EAS)
サンプル構成 32
定義 28
120 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
ランタイム・セキュリティー・サービス外部許可サービス (EAS) (続き)
リスクベース・アクセス (risk-based
access) 28
rtss-eas スタンザ 32
リスクベース・アクセス機能 4
定義 3
リスクベース・アクセス (risk-based
access)
アーキテクチャー 4
アンインストール 18
インストール 15
概要 3
機能 4
プロセス 7
構成 21
検証 23
コンポーネント 4
スキーマ 13, 14
データベース 13, 14
デプロイメント 16
トラブルシューティング 19
トランザクション・フロー 7
トレース 22
始めに 1
ビジネス・シナリオ 3
ランタイム・セキュリティー・サービス外部許可サービス (EAS)
サンプル構成 32
定義 28
ログ 22
リスク・スコア計算 25
定義 25
リスク・スコアリング・エンジン定義 4
リスク・プロファイル構成 25
ログイン時刻 matcher
構成 38, 44
ログとトレース、使用可能化 22
ロケーション matcher
構成 38, 41, 87
構成のプロパティー 87
ロケーション属性属性収集サービス (attribute collection
service) 34
HHTTP ヘッダーからの属性構成 38
IIBM
ソフトウェア・サポート x
Support Assistant x
IP アドレス matcher
構成 38, 43, 87
構成のプロパティー 87
MmanageRbaConfiguration コマンド 69
アンデプロイ 18
応答ファイル (response file) 75
デプロイ 16
manageRbaDevices コマンド 75
manageRbaPolicy コマンド 78
応答ファイル (response file) 81
manageRbaRiskProfile コマンド 82
応答ファイル (response file) 85
manageRbaSessions コマンド 85
Oonline
資料 ix
用語集 ix
RRepresentational State Transfer (REST) サービス属性収集サービス 34
rtss-eas スタンザサンプル構成 32
Ttagvalue
属性 94
WWeb ブラウザー属性属性収集サービス 34
WebSEAL
デフォルトの構成ファイル 28, 32
ポリシー適用ポイント (PEP)
ランタイム・セキュリティー・サービス外部許可サービス (EAS) 28
ランタイム・セキュリティー・サービス外部許可サービス (EAS) 28, 32
リスクベース・アクセス 28
索引 121
122 IBM Tivoli Federated Identity Manager: リスクベース・アクセスのインストール、構成、および管理ガイド
����
Printed in Japan
SA88-5106-01
![の登録 のインストール ボードのインストール ライ …doc.switch-science.com/workshop/ESPrOne_ThingSpeak_Setup.pdfArduino(Sketch) 起動 [ファイル] [環境設定]](https://static.fdocumenti.com/doc/165x107/5f3aae8905d67f68747e3ced/ceoe-ffff-foeffffff-f-docswitch-.jpg)
