| Oracle Access Manager IDおよび共通管理ガイド 10g(10.1.4.3) B55478-01 |
|
 戻る |
 次へ |
Oracle Access Managerには、Windows Server 2003での.NETのサポートが用意されています。サポートされる機能およびOracle Access Managerでのその実装の詳細は、この付録の次の各トピックを参照してください。
Windows Server 2003で実行されているActive Directoryでは、あいまいな名前の解決(ANR)がサポートされます。
ANRは、LDAPクライアントに関連付けられた検索アルゴリズムであり、LDAPクライアントとLDAPサーバーの両方で有効にする必要があります。ANRにより、オブジェクトは複雑な検索フィルタを使用せずにバインドでき、クライアントが認識している、または認識していないオブジェクトと属性を探す場合に役立ちます。
Oracle Access Managerでは、ANRはディレクトリ・サーバーに物理的には存在しない仮想属性です。Oracle Access Managerは、AD_anr.ldifファイルを通じて仮想ANR属性を提供します。これにより、Oracle Access Managerは、ANRリクエストを解釈すること、ディレクトリ・サーバー・フィルタに拡張されるブール関数AndおよびOrにANRリクエストをマッピングして検索を拡大すること、およびActive Directoryに問合せを送信することができます。
|
注意: AD_anr.ldifファイルは、Oracle Access Managerスキーマ・インストール環境に含まれており、手動でインポートする必要があります。詳細は、「ANRに対する構成」を参照してください。 |
デフォルトでは、表D-1に示す属性がANRに対して設定されます。
表D-1 ANR属性
| ANR属性 |
|---|
|
displayName |
|
GivenName |
|
LegacyExchangeDN |
|
msExchMailNickname |
|
name |
|
physicalDeliveryOfficeName |
|
proxyAddress |
|
sAMAccountName |
|
Surname |
(anr=von)などの検索フィルタでは、サーバーは、前にリストした属性のいずれかがvon*と等しいオブジェクトを返します。検索文字列にスペースが埋め込まれている場合、検索はスペースで分割され、属性に対してOr検索も実行されます。サーバーは、姓名処理の実行を試行します。スペースが1つのみの場合、検索は最初のスペースでのみ分割されます。
たとえば、検索フィルタが(anr=Rob Al)だった場合、フィルタ展開は次のようになります。
(|(givenName=Rob Al*) (sn=Rob Al*) (displayName=Rob Al*) (legacyExchangeDN=Rob Al*) (name=Rob Al*) (physicalDeliveryOfficeName=Rob Al*) (proxyAddresses=Rob Al*) (saMAccountName=Rob Al*) (&(givenName=Rob*)(sn=Al*)) (&(givenName=Al*)(sn=Rob*)) )
ANRで使用される属性は構成可能です。Active Directoryスキーマ・スナップインを使用して属性の「Ambiguous Name Resolution」ボックスを選択することにより、ANR検索に含める他の属性を指定できます。含める属性のattributeSchemaでsearchFlags属性を直接5に設定できます。ANRで使用する属性を含めるには、属性に索引が付いている必要もあります。
次のタスク概要では、Oracle Access ManagerでANRを有効にするために実行する必要のある手順を概説します。ANRのメタ属性構成をディレクトリ・サーバーの構成ブランチにアップロードした後で、ANR属性をプロファイル・ページで構成し、検索可能として定義する必要があります。属性アクセス制御も、同じプロファイル・ページで構成できます。
「構成データの更新」の説明に従って、Oracle構成データを更新し、スキーマの構成ブランチにANRメタ属性詳細を含めます。
「アイデンティティ・システム・パネルでのANRの構成」の説明に従って、ANR属性をアイデンティティ・サーバーのOracle Access Manager検索機能で使用できるようにします。
「ANR属性アクセス制御の検証」の説明に従って、アクセス制御権を検証します。
「アイデンティティ・システム検索でのANRの使用方法」の説明に従って、ANRからOracle Access Managerへの認証および認可検索フィルタを使用します。
最初に、構成ブランチのANRメタ属性構成情報に含める構成データ(Oracle Access Manager構成データ)を更新する必要があります。この手順の際に、次のAD_anr.ldifが実行されます。
#File to load ANR meta-attribute configuration to the directory tree. dn: obattr=anr,obclass=user,OU=Oblix,<domain-dn> changetype: add instanceType: 4 distinguishedName: obattr=anr,obclass=user,OU=Oblix,<domain-dn> objectClass: oblixmetaattribute name: anr obattr: anr obcardinality: ob_single obdisplayname: ANR obdisplaytype: ObDTextS obsearchable: true obvisible: true
この手順が完了すると、ANRが、アイデンティティ・システム・パネルの構成時に選択できる属性として表示されます。
アイデンティティ・サーバーをホストしているコンピュータで、AD_anr.ldifファイル\IdentityServer_install_dir\identity\oblix\data.ldap\common\AD_anr.ldifを探します。
AD_anr.ldifファイルを構成ディレクトリにインポートします。
次に例を示します。
D:\data>ldifde -i -f AD_anr.ldif -a "cn=administrator,cn=users,dc=name,dc=company,dc=net" password
アイデンティティ・サーバーを再起動します。
Oracle構成データをANRメタ属性で更新すると、タブ(パネル)上およびユーザー・マネージャ・セレクタの検索可能属性のリスト内のアイデンティティ・システム検索機能でANR属性を使用できるようにする準備ができます。
次の手順では、アイデンティティ・システム・パネルでのANRの構成をガイドします。詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。
アイデンティティ・システムのランディング・ページで、アイデンティティ・システム・コンソールのリンクをクリックします。
すでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。
「ユーザー・マネージャ構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「タブ」リンクをクリックします。
タブのリンクをクリックし、「オブジェクト・プロファイルの表示」をクリックします。
「パネルの構成」をクリックし、構成するパネルのリンクをクリックします。
選択したパネルのすべての属性をリストするサマリーが表示されます。
サマリー・ページの下部にある「変更」ボタンをクリックします。
「パネルの変更」ページが表示されます。
「追加」ボタンをクリックし、「属性」列のリストから「ANR」を選択し、「保存」をクリックします。
すべての属性をリストするサマリー・ページが表示されます。これにはANRが含まれています。
次に、ANRがクエリー・ビルダーの検索基準リストに表示される検索可能属性であることを確認する必要があります。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「タブ」リンクをクリックします。
タブのリンクをクリックします。
ページの下部にある「検索属性の表示」ボタンをクリックします。
すべての検索属性のリストが表示されます。
ANRがリストにあることを確認します。次に例を示します。
アイデンティティ・サーバーを再起動します。
デフォルトでは、属性には読取り権限があります。ANR属性には、変更権限がないようにしてください。次の手順では、ANR属性のアクセス制御権を示します。詳細は、「LDAP属性権限の設定と変更」を参照してください。
ANR属性アクセス制御の検証の手順
アイデンティティ・システムのランディング・ページで、「ユーザー・マネージャ」のリンクをクリックします。
アイデンティティ・システムにすでにログインしている場合は、ユーザー・マネージャ・アプリケーションのタブをクリックします。
「構成」サブタブをクリックし、「属性アクセス制御」のリンクをクリックします。
「属性」リストから「ANR」を選択し、読取り権限しかないことを確認します。
これで、アイデンティティ・システム検索でANRを使用する準備ができます。
構造化オブジェクト・クラスは自立しており、アイデンティティ・システム・アプリケーション内で使用するのに必要な基本属性を含んでいます。構造化オブジェクト・クラスの例として、personやgroupOfNamesがあります。Personオブジェクト・クラスには、名前、部門、従業員ID、電子メール・アドレスなどの属性が含まれます。構造化オブジェクト・クラスは、アイデンティティ・システム・アプリケーション内でタブを作成するときに割り当てる必要があります。
補助オブジェクト・クラスは、任意の構造化クラスに追加できる混在クラスです。補助オブジェクト・クラスを使用すると、すでに構造化クラスに属しているエントリに関連属性のセットを追加できます。請求先住所、チャレンジ・フレーズ、チャレンジ・フレーズに対するレスポンスなどの項目は、補助オブジェクト・クラスでの定義に使用できる可能性があります。
Windows 2000 Serverでは、Active Directoryは静的にリンクされた補助クラスのみサポートしていました。静的にリンクされた補助クラスは、スキーマ内のオブジェクト・クラスのclassSchema定義のauxiliaryClass属性またはsystemAuxiliaryClass属性に含まれているクラスです。これは、関連付けられているクラスのすべてのインスタンスの一部です。静的にリンクされた補助クラスの使用は、Active DirectoryとともにインストールされているOracle Access Managerのデフォルトです。他のすべてのディレクトリでは、動的にリンクされた補助オブジェクト・クラスのみサポートされます。
Windows Server 2003では、Active DirectoryおよびOracle Access Managerは動的にリンクされた補助クラスをサポートします。特定のユーザー、グループまたは組織に対して定義されたスキーマでは、動的にリンクされた補助クラスにより、クラス全体のスキーマ定義の拡張の影響をフォレスト全体に与えることなく、個々のオブジェクトとともに追加属性を格納できます。動的にリンクされた補助クラス属性は、実行時にのみ混在します。
たとえば、動的リンクを使用して、セールス固有の補助クラスをセールス人員のユーザー・オブジェクトに添付したり、他の部門に固有の補助クラスを他の部門の従業員のユーザー・オブジェクトに添付したりできます。または、特定の属性を動的に追加することにより、基本グループをメール・グループに変換できます。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、動的補助クラスを有効にしてOracle Access Managerをインストールおよび設定します。
「オブジェクト・クラスの概要」の説明に従って、組織マネージャの追加の構造化オブジェクト・クラスを指定します。
「オブジェクト・クラス属性の概要」の説明に従って、属性を構成します。
「タブの構成」の説明に従って、ユーザー、グループおよび組織のアプリケーション・タブを構成します。
「タブのプロファイル・ページおよびパネルの構成」の説明に従って、ユーザー、グループおよび組織のプロファイル・ページを構成します。
「アイデンティティ機能とワークフローの連携」の説明に従って、ワークフローを定義します。
「属性の動的な追加」の説明に従って、追加の補助オブジェクト・クラスを指定します。
次の手順では例のみを提供し、ユーザー・マネージャでタブとパネルを作成してあることを前提とします。ここでは、目的の補助属性を動的に追加します。
ユーザー・マネージャで追加の補助オブジェクト・クラスを指定する手順
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」をクリックし、次に左側のナビゲーション・ペインの「タブ」をクリックします。
タブのリンクをクリックします。
「オブジェクト・プロファイルの表示」ボタンをクリックし、「パネルの構成」リンクをクリックします。
変更するパネルのリンクをクリックします。
「変更」ボタンをクリックして、「パネルの変更」ページを表示します。
「追加」ボタンをクリックし、リストから1つ以上の属性を選択してから「保存」をクリックします。
追加した属性が「パネルの表示」ページに表示されます。
ディレクトリ・サーバーのエントリが変更され、新規属性が含められます。
この手順の例は、次のような属性を追加することにより、単一の基本グループをメール・グループに動的に変換します。
| 属性1 | 属性2 | 属性3 |
|---|---|---|
| MailAlternateAddress | Mailhost | MailRoutingAddress |
この例では、「グループ」パネルと、メール・グループを作成するためのワークフローを作成してあることを前提とします。ここでは、目的の属性を動的に追加します。これは単なる例です。ユーザー・マネージャまたは組織マネージャでも作業できます。「属性の動的な追加」も参照してください。
アイデンティティ・システムのランディング・ページで、アイデンティティ・システム・コンソールのリンクをクリックします。
すでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。
「グループ・マネージャ構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「タブ」リンクをクリックします。
「オブジェクト・プロファイルの表示」、「パネルの構成」をクリックし、変更するパネルのリンクをクリックします。
「パネルの表示」ページが表示されます。
「変更」をクリックします。
「パネルの変更」ページが表示されます。
ページの「属性」セクションで、「追加」ボタンをクリックし、リストから1つ以上の属性を選択してから「保存」をクリックし、追加した属性が「パネルの表示」ページに表示されることを確認します。
右上にある「アプリケーションの選択」リストから、「グループ・マネージャ」を選択します。
「セレクタ」に検索基準を入力し、「実行」をクリックします。
結果が返されます。「グループ」を選択して確認すると、1つのグループに動的に追加した属性が、そのグループでのみ使用可能であることがわかります。
「変更」、「+」ボタンの順にクリックしてから、特定の値を追加して通常どおりに保存します。
ディレクトリ内のエントリも変更されています。たとえば、次のスクリーン・ショットは補助クラスが追加される前のサンプル・エントリを示します。
次のスクリーン・ショットは、補助クラスが追加された後の同じエントリを示します。
Windows Server 2003で実行されているActive Directoryは、同じLDAP接続上で複数の認証を可能にする同時バインド(ファスト・バインドとも呼ぶ)機能を提供します。
アクセス・システムは、次の利点があるこの機能をサポートおよび使用します。
ファスト・バインドでは、2つのスレッドが1つの接続で同時にバインドをリクエストできます。
ファスト・バインドでは、パスワードとアカウント・フラグのみ検証され、チケットは作成されないため、より高速な認証メカニズムが提供されます。
各データベース・インスタンスに対してファスト・バインド・オプションを有効にする必要があります。このオプションは、アクセス・システム・コンソールの個々のデータベース・プロファイルにあります。
ファスト・バインドを使用するようにアクセス・システムを構成する手順
アクセス・コンソールで、「システム構成」タブをクリックします。
左側のナビゲーション・ペインで「サーバー設定」リンクをクリックします。
このページの「LDAPディレクトリ・サーバー・プロファイルの構成」セクションでは、変更するディレクトリ・プロファイルを選択します。
ファスト・バインド機能を有効にするディレクトリ・サーバー・インスタンスの名前をクリックします。
「ディレクトリ・サーバー・プロファイルの変更」ページが表示され、変更するディレクトリ・サーバー・プロファイルのインスタンス(データベース・インスタンスとも呼ぶ)をページの下部で探すことができます。
目的のディレクトリ・サーバー・プロファイル・インスタンス(データベース・インスタンス)の名前を探し、クリックします。次に例を示します。
このインスタンスのリンクをクリックし、ファスト・バインド・オプションの横のボックスをチェックします。次に例を示します。
「保存」をクリックします。
「ディレクトリ・サーバー・プロファイルの変更」ページで、プロファイルが有効になっていることを確認します。
必要に応じて手順を繰り返し、他のデータベース・インスタンスに対してファスト・バインド・オプションを有効にします。
Windows環境では、すべてのプロセスとスレッドがセキュリティ・コンテキストで実行されます。暗号化は、スレッドを所有するプロセスとは異なるセキュリティ・コンテキストでスレッドを実行する機能です。暗号化の主な目的は、クライアントのアイデンティティに対してアクセス・チェックをトリガーすることです。
IISで有効になっている暗号化をオーバーライドするOracle Access Managerの暗号化の有効化の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
Oracle Access Managerでは、統合Windows認証(IWA)がサポートされています。環境には次のものが含まれます。
Windows 2000 Server、Windows Server 2003またはSolaris
Internet Information Services(IIS)5.5または6.x
Active DirectoryまたはiPlanetディレクトリ・サーバー
たとえばユーザーのディレクトリ・サーバーにNTログオンIDがある場合、またはユーザー名がすべての場所で同じ場合、ユーザーは任意のディレクトリ・サーバーに対して認証できます。
Windows 2000およびWindows Server 2003で最も一般的な認証メカニズムはKerberosです。
Oracle Access ManagerによるIWAの使用はシームレスです。ユーザーは、デスクトップにログインし、Internet Explorer(IE)ブラウザを開き、保護されているWebリソースをリクエストしてシングル・サインオンを完了するときに、通常の認証とIWAの違いに気付きません。
この統合に対してサポートされているバージョンおよびプラットフォームを確認するには、次のURLにあるOracle Technology Network(OTN)を参照してください。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
ユーザーがデスクトップ・コンピュータにログインすると、Windows Domain Administrator認証スキームを使用してローカル認証が完了します。
ユーザーは、Internet Explorer(IE)ブラウザを開き、アクセス・システムで保護されたWebリソースをリクエストします。
ブラウザは、ローカル認証に注目し、IIS Webサーバーにトークンを送信します。
IIS Webサーバーは、トークンを使用してユーザーを認証し、クライアントによって指定され、サーバーによって認証されたユーザー名を指定するREMOTE_USER HTTPヘッダー変数を設定します。
IIS WebサーバーにインストールされているWebGateは、外部認証の非表示機能を使用してREMOTE_USERヘッダー変数値を取得し、それをDNにマッピングしてObSSOCookieの生成と認可を行います。
WebGateは、ObSSOCookieを作成し、それをブラウザに送信します。
アクセス・システム認可およびその他のプロセスは通常どおりに進められます。
WebGateに対して構成されている最大セッション・タイムアウト期間が、生成されたObSSOCookieに適用されます。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、IWAを設定したのと同じIIS WebサーバーにWebGateをインストールします。
サイト・レベルでWebGateをインストールした場合は、サイト・レベルでタスクを実行する必要があります。
異なる仮想サイトに複数のWebGateをインストールした場合は、各仮想サイトに対してタスクを実行する必要があります。
「WebGate WebサーバーでのIWAの有効化」の説明に従って、WebGate上でIWAを有効にします。
「IWAに対するWebGateの構成」の説明に従って、IWAを使用するようにWebGateを構成します。
「Oracle Access ManagerでのIWA認証スキームの作成」の説明に従って、Oracle Access ManagerにIWAの認証スキームを作成します。
「IWA実装のテスト」の説明に従って、IWA実装をテストします。
最初の手順は、WebGateをホストしているコンピュータでのIWAの有効化です。
サイト・レベルでWebGateをインストールした場合は、サイト・レベルでタスクを実行する必要があります。
異なる仮想サイトに複数のWebGateをインストールした場合は、各仮想サイトに対してタスクを実行する必要があります。
WebGateをホストしているコンピュータでIWAを有効にする手順
WebGateをホストしているコンピュータでインターネット・サービス・マネージャを起動します(「スタート」、「プログラム」、「管理ツール」、「インターネット サービス マネージャ」)。
「Default Web site」(デフォルトのWebサイトの名前を変更した場合はWebサーバーの名前)を右クリックし、「Properties」を選択します。
|
注意: WebGateをサイト・レベルでインストールした場合は、「Site」を右クリックし、「Properties」を選択します。 |
「Master Properties」の横の「Edit」ボタンをクリックします。
「Directory Security」タブをクリックし、「Anonymous access and authentication control」の横の「Edit」をクリックします。
「Anonymous Access on the IIS Web Server」を無効にします。
「Integrated Windows Authentication」を有効にします。
「OK」をクリックし、もう一度「OK」をクリックします。
IIS Webサーバーを再起動します。
IWAに対してWebGateを構成するには、アクセス・システム・コンソールでユーザー定義パラメータUseIISBuiltinAuthenticationをtrueに設定する必要があります。詳細は、『Oracle Access Managerアクセス管理ガイド』の「アクセス・システムの構成」の章を参照してください。
アクセス・システム・コンソールでアクセス・ゲートを変更する手順
アクセス・システム・コンソールを起動し、「アクセス・システム構成」タブをクリックし、次に左側のナビゲーション・ペインの「アクセス・ゲート構成」リンクをクリックします。
「アクセス・ゲートの検索」ページが表示されます。
検索属性と条件をリストから選択するか、「すべて」を選択してすべてのアクセス・ゲートを検索します。
「検索」リストは、検索できる属性の選択リストです。残りのフィールドで、選択した属性に適した検索基準を指定できます。
「実行」をクリックします。
検索結果がページに表示されます。
変更するアクセス・ゲートまたはWebGateの名前をクリックします。
アクセス・ゲートの詳細ページが表示されます。
「変更」をクリックします。
「アクセス・ゲートの変更」ページが表示されます。このページで新規情報を入力できます。
アクセス・ゲートまたはWebGateの名前は変更できません。名前を変更するには、アクセス・システム・コンソールから削除し、アンインストールする必要があります。その後で、新しいアクセス・ゲートまたはWebGateを作成します。
必要に応じて新しい値を入力します。
「保存」をクリックして変更を保存します。
特定のチャレンジ・メソッド、チャレンジ・パラメータおよびプラグインを使用するには、次の手順で説明するように、アクセス・システムのIWA認証スキームを作成する必要があります。
通常どおり、アクセス・システム・コンソールにナビゲートします。次に例を示します。
http://hostname:port/access/oblix
「認証管理」ページにナビゲートし、「追加」をクリックします(アクセス・システム・コンソール」→「アクセス・システム構成」→「認証管理」→「追加」)。
統合Windows認証スキームを作成します。
次に例を示します。
名前: 統合Windows認証
説明: このスキームは、組込みのWindows認証メカニズムを使用した統合Windows認証です。
レベル: 1
チャレンジ・メソッド: Ext
チャレンジ・パラメータ: creds: REMOTE_USER
SSL必須: No
チャレンジ・リダイレクト
「プラグイン」タブをクリックし、「変更」をクリックします。
リストからプラグイン名を選択し、プラグイン・パラメータを入力して「追加」をクリックし、終了したら保存します。
次に例を示します。
プラグイン
| プラグイン名 | プラグイン・パラメータ |
|---|---|
credential_mapping |
obMappingBase=<"Domain name">,obMappingFilter="(&(objectclass=user) (samaccountname=%REMOTE_USER%))" |
通常どおり、認証スキームを保存し、このスキームを使用してリソースを保護します。
アクセス・システム・パスワード管理機能をActive Directoryフォレストとともに使用する場合は、次の点に注意してください。
「リセット時に変更」、「パスワードの期限切れ」およびパスワードの期限切れ警告機能は動作しません。
「取得数」機能は動作しません。
この制限は、アクセス・システムでパスワード管理にLDAPモードを使用している場合、およびフォレスト構成でActive Directoryを使用している場合にのみ適用されます。
.NET Frameworkには、コードの安全な実行を保証し、スクリプト化された環境でのパフォーマンスの問題を排除するためのオブジェクト指向プログラミング環境が用意されています。.NET Frameworkでは、ランタイムを対象とするコードは管理コードと呼ばれます。
また、MANAGEDLIBアクションは、次のような管理コードの利点を提供します。
言語の選択: プラグインをVisualBasic、C#、Managed C++(MC++)、JavaまたはPERLで記述できます。
言語の統合: 異なるソース言語からコンパイルされたMILモジュールを1つのアセンブリまたはプラグインに結合できます。
これにより、プラグインの作成者に対して、プラグイン開発用により多様な言語の選択肢が提供されます。
メモリー管理のサポート: 共通言語ランタイム(CLR)は、ガベージ・コレクションを提供し、プラグインの作成者をほとんどのメモリー管理から解放します。
ガベージ・コレクタは、メモリーが参照されなくなると、そのメモリーをヒープに戻します。ただし、プラグイン作成者は、オブジェクトへのぶら下がり参照がないことを確認する必要があります。ぶら下がり参照がある場合、未使用のメモリーに対してガベージ・コレクションは行われません。
.NET Frameworkサポート: .NET framework SDKには、様々な機能が含まれています。これにより、プラグイン・コードでのサード・パーティ・サポートの必要性が削減されます。
Oracle Access Managerは、管理コードおよびManaged C++ (MC++)、Visual Basic.Netなどの言語を含む多くの言語でAPIを使用およびコールできます。
管理コードおよび管理ヘルパー・クラスの詳細は、『Oracle Access Manager開発者ガイド』を参照してください。
アクセス・システムには、Microsoft Windows Server 2003 Authorization Manager(AzMan)サービスを使用してWebGateやアクセス・サーバーAPIのコール元を含むアクセス・サーバー・クライアントの認可の決定を行う認可プラグインが用意されています。
AzManプラグインのポリシー・ドメインの構成の詳細は、『Oracle Access Manager統合ガイド』を参照してください。
Oracle Access Managerは、同種のWindows環境のActive DirectoryおよびIIS Webサーバーによるスマートカード認証をサポートします。スマートカード認証は、「ユーザーが認識しているもの」および「ユーザーが持っているもの」に基づいているため、これを使用すると、ユーザー名とパスワードのみ使用する場合よりも強力な形式の認証が提供されます。
「ユーザーが認識しているもの」は、ユーザーの秘密の個人識別番号(PIN)です。この概念は、個人の銀行コードPINと同様です。
「ユーザーが持っているもの」は、コンピュータに接続されているスマートカード・リーダーに挿入したスマートカード・デバイスにより生成された暗号ベースのアイデンティティおよび所有の証明です。
スマートカード認証との統合の構成の詳細は、『Oracle Access Manager統合ガイド』を参照してください。
Oracle Access Managerは、Microsoft .NET FrameworkのASP.NETコンポーネントをサポートします。開発者はこのコンポーネントを使用して、Webアプリケーションおよび分散アプリケーションを構築、デプロイおよび実行できます。Oracle Access Manager Security Connector for ASP.NETは、ネイティブの.NETロールベース・セキュリティをサポートおよび拡張します。
Oracle Access Manager Security Connector for ASP.NETを使用して新規OblixPrincipalオブジェクトをインスタンス化し、それにルール(アクセス・システム認可ルール)とネイティブWindowsPrincipalオブジェクトを移入する方法の詳細は、『Oracle Access Manager統合ガイド』を参照してください。
トラブルシューティングの詳細は、「Oracle Access Managerのトラブルシューティング」を参照してください。
Active Directoryのホームページ
http://www.microsoft.com/windows2000/technologies/directory/ad/default.asp
ADSIの概要
http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/adsilinks.asp
Active Directoryプログラマ・ページ
ADSIプログラマ・ページ
