| Oracle Access Manager IDおよび共通管理ガイド 10g(10.1.4.3) B55478-01 |
|
 戻る |
 次へ |
Oracle Access Managerを構成および管理する前に、管理者として実行するタスクをプレビューすることが役に立つ場合があります。アイデンティティ・システムとアクセス・システムにログインし、ユーザー・インタフェースを表示することも役に立つ可能性があります。
この章には、次のトピックを含め、Oracle Access Managerの構成および管理を開始する前に必要な情報が記載されています。
|
注意: 製品名はOracle Access Managerに変更されましたが、マニュアルや製品で、NetPointまたはOblixという名前を使用している場合があります。特にファイル名とパス名で使用されています。 |
Oracle Access Managerは、『Oracle Access Managerインストレーション・ガイド』の説明に従ってインストールおよびセットアップする必要があります。『Oracle Access Manager概要』には、その他のマニュアルには記載されていないOracle Access Managerの概要が含まれています。参照してください。
このマニュアルでは、一般的な構成と管理タスクの他、アイデンティティ・システム管理に焦点を当てています。
アイデンティティ・システムおよびディレクトリ・サービスのオブジェクトを使用して、個人、グループ、組織およびその他のオブジェクトに関するアイデンティティ情報を管理します。マスター管理者は、権限を他の管理者に委任して、アイデンティティ・システムを数100万人のユーザーに拡張できます。
アイデンティティ・システムでは、アイデンティティ情報の管理に加えて、特定のユーザー属性、グループのメンバーシップまたは組織との関連に基づいて、ユーザーの読取り、書込みおよび変更権限を管理できます。複数の権限を1つのワークフローにリンクできます。
たとえば、ユーザーが自己登録を行ったときに登録リクエストが承認のために適切な人物に転送され、承認されるとユーザーのアイデンティティ属性に適したすべてのリソースへのアクセス権がそのユーザーに即時かつ自動的に付与されるように、自己登録ワークフローを設定できます。
最後に、アイデンティティ・システムでは、ユーザー・アイデンティティ、グループ・メンバーシップおよび組織オブジェクトを正確に管理できます。この情報をアクセス・システムで利用して、ユーザー属性、グループ・メンバーシップまたは組織エンティティとの関連に基づいてユーザーのアクセス権限を管理できます。
アイデンティティ・システムは、次のコンポーネントから構成されます。
アイデンティティ・サーバー
Webパス
アイデンティティ・サーバー: ユーザー、グループ、組織などのオブジェクトに関するアイデンティティ情報を管理するスタンドアロン・サーバーまたは複数のインスタンス。アイデンティティ・サーバーでは次のアプリケーションが提供されます。
ユーザー・マネージャ: 管理者またはユーザーの場合、ユーザー・アイデンティティの追加、変更および削除を実行するワークフローに参加していれば、ユーザー・マネージャを使用してこれらの処理を実行できます。ユーザー・マネージャ・データをアクセス・システムで利用して、ディレクトリ・プロファイルに基づいてユーザーにアクセス権限を付与できます。ユーザー・マネージャにはレポート機能もあります。
通常、ユーザー・マネージャでは、エンド・ユーザーが他のユーザーの表示や自身のアイデンティティ情報の変更を行うことができます。表示可能なユーザーおよび変更可能なアイデンティティ情報は、マスター管理者が付与する権限によって決まります。
グループ・マネージャ: 管理者およびユーザーによるグループの作成または削除、およびユーザーによるグループの登録または登録解除を行うことができます。必要な機能を実行するワークフローの参加者になっている必要があります。グループ・マネージャにはレポート機能もあります。
通常、グループ・マネージャでは、エンド・ユーザーがグループの表示やグループ内のメンバーシップの登録を行うことができます。表示可能なグループおよび登録権は、マスター管理者によって付与されます。
組織マネージャ: 管理者またはユーザーの場合、組織マネージャを使用して、組織や、ユーザー・マネージャまたはグループ・マネージャに属さないその他のオブジェクト(床配置図や資産など)を作成および削除できます。必要な機能を実行するワークフローの参加者になっている必要があります。組織マネージャにはレポート機能もあります。
組織マネージャにより、エンド・ユーザーは、床配置図などの組織エンティティを表示できます。表示可能な組織エンティティは、マスター管理者が付与する権限によって決まります。
アイデンティティ・システム・コンソール: アイデンティティ・システムを管理および構成できます。システム・コンソールを使用して、管理者を作成したり、権限を割り当てて管理タスクを委任したりすることもできます。
アイデンティティ・サーバーは、ユーザー情報をディレクトリ・サーバーに格納します。アイデンティティ・サーバーは、アクセス・サーバーが正しい情報を取得できるようにディレクトリを最新状態に保ちます。
Webパス: Webパスは、Webサーバーとアイデンティティ・サーバー間で情報を受け渡すWebサーバー・プラグインです。Webパスは複数のアイデンティティ・サーバーと通信できます。
次に詳細を示します。
インストールおよび設定には、次のイベントが含まれます。
少なくとも1つのアイデンティティ・サーバーと1つのWebパスがインストールされて、アイデンティティ・システムが設定されます。
アイデンティティ・サーバーとWebパス間の通信を保護するトランスポート・セキュリティ・モードが選択されます。
アイデンティティ・サーバーがLDAPディレクトリ・サーバーまたは仮想ディレクトリと通信するように構成されます。
ディレクトリ・サーバー・スキーマの自動設定に関するプロンプトが表示されます。スキーマを自動的に更新しないことを選択した場合は、構成時に手動で行うようにプロンプトが表示されます。ディレクトリ・サーバー・スキーマの手動更新の方法は、このマニュアルで説明しています。
必要な各アプリケーションがアイデンティティ・サーバーとともにインストールされます。
アイデンティティ・システムにログインしたときに、上部のナビゲーション・バーに、アプリケーションに対応する一連のタブが表示されます。これらのタブから、ユーザー・マネージャ・アプリケーション、グループ・マネージャ・アプリケーションおよび組織マネージャ・アプリケーションの外観と機能を構成できます。
ユーザーおよびグループ・オブジェクト・クラスの必須属性が設定されます。
その他の属性も構成されます。
少なくとも1人のマスター管理者が選択されます。
マスター管理者は、最上位レベルの管理者です。Oracle Access Managerでの作業を開始するには、少なくとも1人の管理者を定義する必要があります。これらの管理者がシステムを構成します。マスター管理者は、マスター・アイデンティティ管理者と呼ばれる下位レベルの管理者を作成します。
表1-1で、アイデンティティ・システムのインストールおよび設定を確認します。
詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
アイデンティティ・システムは、1つの管理コンソールおよび前に説明した3つのエンドユーザー・アプリケーションから構成されます。
アイデンティティ・システム・コンソール(「ユーザー・マネージャ構成」、「グループ・マネージャ構成」、「組織マネージャ構成」、「共通構成」、「システム構成」など)
ユーザー・マネージャ・アプリケーション
グループ・マネージャ・アプリケーション
組織マネージャ・アプリケーション
個人情報の変更、パスワードの再設定、他のユーザーの追加、組織情報の検索などのタスクには、アイデンティティ・システム・エンドユーザー・アプリケーションを使用します。このアイデンティティ・データは、LDAPディレクトリにあります。アイデンティティ・システム・アプリケーションを構成するには、表示するディレクトリ内の属性および変更可能にする属性を把握しておく必要があります。
ディレクトリ内のデータと連動するようにアイデンティティ・システムを構成した後で、アイデンティティ・システム・アプリケーション・プロファイル・ページを構成します。プロファイル・ページには、ディレクトリ・データが表示されます。たとえば、ユーザーの名前、役職、住所および電話番号をユーザー・マネージャ・アプリケーションのプロファイル・ページに表示できます。アイデンティティ・ワークフローを使用して組織の効率を改善することもできます。アイデンティティ・ワークフローにより、ユーザーを作成してそのユーザーに電子メールやその他のアカウントを割り当てるなど、アイデンティティ・システム・アプリケーション関連のアクティビティを自動化できます。
最後に、アイデンティティ・システムを使用して、アイデンティティ・ワークフローを作成します。アイデンティティ・ワークフローは、一連のアクションおよびアクションを完了するために実行する手順の定義です。たとえば、新しい従業員を企業の各種情報システムに追加するためのワークフロー定義を作成できます。
表1-1に、アイデンティティ・システムの構成の概要を示します。
| 実行するタスク | 説明 | 参照先 |
|---|---|---|
|
組織マネージャの追加の構造化オブジェクト・クラスおよびすべてのアプリケーションの補助オブジェクト・クラスの指定 |
設定時に、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャにそれぞれ1つの構造化オブジェクト・クラスを構成します。 組織マネージャに対して追加の構造化オブジェクト・クラスを定義できます。たとえば、組織マネージャで資産を表示できます。 補助オブジェクト・クラスを追加して、アイデンティティ・システム・アプリケーションにデータを提供することもできます。 |
|
|
属性の構成 |
ユーザー・マネージャ・アプリケーション、グループ・マネージャ・アプリケーションおよび組織マネージャ・アプリケーションで使用可能な属性を決定できます。 アイデンティティ・システム・アプリケーション・プロファイル・ページに属性値を表示する方法に関するルールも構成できます。たとえば、従業員がリストから部門名を選択できるようにすることが必要な場合があります。 |
|
|
ユーザー、グループおよび組織のアプリケーション・タブの構成 |
ユーザー・マネージャでは、「アイデンティティ」タブに表示される内容を構成します。 グループ・マネージャでは、「グループ」タブに表示される内容を構成します。 組織マネージャでは、「ロケーション」タブに表示される内容と、オプションで追加のタブを構成します。 |
|
|
ユーザー、グループおよび組織のプロファイル・ページの構成 |
タブには、1つ以上のプロファイル・ページが含まれます。プロファイル・ページには、一連のパネルが含まれます。パネルは属性の集まりです。 たとえば、ユーザーのプロファイル・ページでは、「名前」、「写真」、「役職」などの属性の値を表示するようにアイデンティティ・パネルを定義できます。 |
|
|
検索ベースの設定 |
検索ベースは、ディレクトリ・ツリー内の検索のエントリ・ポイントを決定します。 |
|
|
属性の表示および変更権限の構成 |
誰が何を検索ベースのどのポイントでどのフィルタを使用して検索できるかを決定する必要があります。 これらの決定は、誰がデータを読取りまたは書込みでき、属性が変更されたときに誰が電子メール通知を受け取るかに影響します。 |
|
|
ワークフローの定義 |
ワークフローは、アイデンティティ・システムの属性を作成、削除および変更するための一連の手順です。 たとえば、ユーザー・マネージャでは、組織の複数の人物からの新規ユーザーに関する情報の収集を含むユーザー作成のワークフローを定義できます。 |
|
|
パスワード・ポリシーの構成 |
パスワードの長さやパスワード変更の頻度などを決定できます。 |
|
|
委任管理 |
インストールを拡張するには、それぞれユーザーのサブセットを監督する複数の管理者が必要です。 |
サーバーを追加し、アイデンティティ・システム管理者のネットワークを拡張することにより、アイデンティティ・システムを拡張できます。監査とログを構成し、その他の管理機能を実行できます。表1-2に、アイデンティティ・システムの管理の概要を示します。
表1-2 アイデンティティ・システムの詳細情報の参照先
| 実行するタスク | 参照先 |
|---|---|
|
アイデンティティ・サーバーの追加 |
『Oracle Access Managerインストレーション・ガイド』。このプロセスを簡単にするために、『Oracle Access Managerインストレーション・ガイド』の説明に従って、サイレント・インストールまたはクローニングを通じてアイデンティティ・サーバーを追加することを選択できます。 |
|
Webパスの追加 |
『Oracle Access Managerインストレーション・ガイド』。このプロセスを簡単にするために、インストール・マニュアルの説明に従って、サイレント・インストールまたはクローニングを通じてWebパスを追加することを選択できます。 |
|
その他のアイデンティティ・システム・コンポーネントの追加 |
『Oracle Access Managerインストレーション・ガイド』には、ほとんどのコンポーネントのインストール方法が記載されています。カスタム・アクセス・ゲートのAccess Manager SDKのインストール方法は、『Oracle Access Manager開発者ガイド』に含まれています。 |
|
組織マネージャのコンテナ制限の構成 |
Oracle Access Managerユーザー・インタフェースでよく使用される機能は次のとおりです。
ログイン
ページ上の機能領域
オンライン・ヘルプ
ログアウト
Oracle Access Managerでは、割り当てられているロールに基づいてログインします。「アイデンティティ・システム管理者の指定」で説明するように、ユーザーに対して次のロールを指定できます。
エンドユーザー: エンドユーザーは、個々の属性に設定されているアクセス権限に応じて、検索の実行、プロファイル・データの表示およびプロファイル・データの変更を行うことができます。
委任アクセス管理者: 委任管理者は、エンドユーザーと同じタスクをすべて実行でき、付与されている権限のレベルに応じてユーザー・オブジェクト、グループ・オブジェクトおよび組織オブジェクトを作成できるユーザーです。委任管理者は、リクエストも表示できます。
委任アイデンティティ管理者: 委任アイデンティティ管理者は、ユーザー・マネージャ・アプリケーション、グループ・マネージャ・アプリケーションおよび組織マネージャ・アプリケーションの構成タブを表示する権限を委任されたユーザーです。この人物は、属性アクセス制御の設定やワークフローの定義などを行うことができます。
アイデンティティ管理者: アイデンティティ管理者は、ユーザー・マネージャ・アプリケーション、グループ・マネージャ・アプリケーションおよび組織マネージャ・アプリケーションを表示でき、アイデンティティ・システム・コンソールのアイデンティティ・システム構成機能を使用できます。
たとえば、アイデンティティ管理者としてログインした場合は、すべてのアプリケーションのすべての画面を表示できます。しかし、エンドユーザーとしてログインした場合は、ユーザー・マネージャ・アプリケーション、グループ・マネージャ・アプリケーションおよび組織マネージャ・アプリケーションのサブセットのみ表示でき、アイデンティティ・システム管理機能にはアクセスできません。
デフォルトでは、アイデンティティ・システムとアクセス・システムの間にシングル・サインオンが構成されます。一方のシステムにログインした場合は、もう一方のシステムへのログインが要求されません。
アクセス・システムを使用してアイデンティティ・システム・アプリケーションを保護する場合は、デフォルトのログイン形式を使用しないで、独自のカスタム形式を実装できます。ポリシー・ドメインでのリソースの保護の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
アイデンティティ・システムへのログインの手順は、ログイン画面をカスタマイズしたかどうか、Portal Insertsとして使用可能にしたかどうか、またはアクセス・システムで保護したかどうかによって決まります。
この項では、アイデンティティ・システムに付属のデフォルトのログイン・ページと、デフォルトのユーザー・タイプがログインに与える影響を説明します。カスタマイズの詳細は、『Oracle Access Managerカスタマイズ・ガイド』および『Oracle Access Manager開発者ガイド』を参照してください。
ユーザーがアイデンティティ・システムにログインする前に、セマンティク型のログインで属性を構成する必要があります。この属性は、インストール時に自動的に構成するか、アイデンティティ・システム・コンソールから手動で構成できます。詳細は、「アイデンティティ・システムでのスキーマ・データの使用」を参照してください。
|
注意: マスター・アイデンティティ管理者および委任アイデンティティ管理者のみがアイデンティティ・システム・コンソールにアクセスできます。これらの管理者の構成の詳細は、「アイデンティティ・システム管理者の指定」を参照してください。 |
ブラウザで、アイデンティティ・システムへのパスを入力し、[Enter]を押します。
例:
https://hostname:port/identity/oblix
hostnameは、Webパスがインストールされているコンピュータの名前で、portは、Webパス用のWebサーバー・ポートです。HTTPまたはHTTPSプロトコルを使用してログインできます。
製品のメイン・ページが表示されます。このページには、ユーザー・マネージャ、グループ・マネージャ、Org Managerなどの1つ以上のアプリケーションへのリンクがあります。
このデフォルトの変更の詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
必要なアプリケーションを選択します。
ログイン・ページが表示されます。
ユーザー名とパスワードを入力します。
Active Directoryユーザーの場合、「ドメイン」フィールドが表示されたら、アイデンティティ・システムのインストール環境が動作するドメインを選択します。
デフォルトでは、アイデンティティ・システムにログインしたときに、アイデンティティ・システム管理者が使用できる機能がすべて表示されます。たとえば、ユーザー・マネージャでは、「アイデンティティ」、「レポート」などの機能、および検索機能が表示されます。
デフォルトでは、ユーザーがアイデンティティ・システムにすでにログインしている場合、アクセス・システムにログインする必要はありません。また、アクセス・システムにログインしている場合は、アイデンティティ・システムにログインする必要はありません。セッション情報は、ObTEMC CookieというCookieに格納されます。ポリシー・ドメインでアイデンティティ・システム・アプリケーションを保護することを選択した場合は、別の認証を使用できます。ポリシー・ドメインでのリソースの保護の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
ユーザーがアクセス・システムにログインする前に、セマンティク型のログインで属性を構成する必要があります。この属性は、インストール時に自動的に構成するか、アイデンティティ・システム・コンソールから手動で構成できます。詳細は、「アイデンティティ・システムでのスキーマ・データの使用」を参照してください。
この項では、アクセス・システムに付属のデフォルトのログイン画面について説明します。
|
注意: マスター管理者およびマスター・アクセス管理者のみがアクセス・システム・コンソールにアクセスできます。マスター・アクセス管理者の構成の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
ブラウザで、アクセス・システムへのパスを入力し、[Enter]を押します。
例: https://hostname:port/access/oblix
hostnameは、ポリシー・マネージャがインストールされているコンピュータの名前で、portは、ポリシー・マネージャ用のWebサーバー・ポートです。HTTPまたはHTTPsプロトコルを使用してログインできます。
製品のメイン・ページが表示されます。このページには、アイデンティティ・システム、ポリシー・マネージャ、アクセス・システム・コンソールなどの1つ以上のアプリケーションへのリンクがあります。
必要なアプリケーションを選択します。
ポリシー・マネージャ: 委任アクセス管理者のみがポリシー・ドメインを参照できます。ポリシー・マネージャでの管理の委任の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
アクセス・システム・コンソール: マスター管理者とマスター・アクセス管理者のみが、その機能にアクセスできます。マスター・アクセス管理者の構成の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
ログイン・ページが表示されます。
次に、アイデンティティ・システム・ページの主要コンポーネントを示します。
次に、「アイデンティティ・システム・コンソール」ページの一部を示します。このページは、アイデンティティ・システムのランディング・ページにアクセスし、そのページの「アイデンティティ・システム・コンソール」リンクをクリックしてから「ユーザー・マネージャ構成」サブタブをクリックしたときに表示されます。
すべてのページには、次の機能領域があります。
アプリケーション・タブ: アイデンティティ・システム・アプリケーション(ユーザー・マネージャ、グループ・マネージャ、組織マネージャ(ユーザー・インタフェースではOrg.と省略)およびアイデンティティ・システム・コンソール)を表示する一連のタブです。
アプリケーション・サブタブ: アイデンティティ・システム・アプリケーションの主要機能を表示する一連のタブです。たとえば、アイデンティティ・システム・コンソールには、「システム構成」、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」および「共通構成」のモジュールがあります。
「ヘルプ」、「バージョン情報」および「ログアウト」リンク: これらのリンクは、ページの上部に表示されます。
左側のナビゲーション・ペイン: アイデンティティ・システム・コンソールでは、左側のナビゲーション・ペインを使用します。このペインには、選択されたタブまたはサブタブに適用される機能へのリンクのリストが含まれます。ユーザー・アプリケーションでは、左側のナビゲーション・ペインのかわりにサブタブとパネルを使用します。
本体: 本体には、現在選択している機能または入力するフィールドの説明が表示されます。
ユーザー・インタフェースには、ユーザーまたはグループを検索するための検索フィールドがあります。これらの検索フィールドは、ほとんどのアイデンティティ・アプリケーション・ページに表示されます。使用可能なフィールド数および検索できる項目は、管理者が検索機能をどのように構成したかによって決まります。
ユーザーまたはグループを問い合せるには、検索基準を入力し、「実行」をクリックします。オプションとして、「レポート」タブをクリックし、「レポートの生成」を選択して、問合せの結果を格納できます。検索結果表の列ヘッダー(姓名など)をクリックすると、Oracle Access Managerでは、大/小文字を区別しないロケールベースのソート方式が使用されます。
検索基準を入力します。
最も単純な検索方法としては、「検索」入力フィールドにテキスト文字列を入力します。
デフォルトでは、最小文字数を入力する必要はありません。ただし、ユーザーが検索基準を絞り込めるように、oblixadminparams.xmlでsearchStringMinimumLengthパラメータを設定して、検索フィールドに入力する必要のある最小文字数を制御できます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
「実行」をクリックします。
検索基準に一致するユーザーまたはグループが画面に表示されます。
デフォルトでは、1ページに8個の結果が表示されます。これは、セレクタとクエリー・ビルダーの両方に適用されます。検索や問合せの結果が20ヒットを超えると、切り捨てられた結果が戻されます。この検索上限の変更方法は、『Oracle Access Managerカスタマイズ・ガイド』のcookieBustLimitパラメータの説明を参照してください。
検索結果で、ユーザーまたはグループのリンクをクリックして選択します。
|
注意: 「完了」をクリックしたときに「不正なリクエスト」メッセージが表示された場合は、検索文字列がブラウザにとって長すぎます。ブラウザは、検索パラメータをURLとして扱い、検索が最大URL長を超えた場合にエラーを生成します。 |
検索結果で、列ヘッダーをクリックしてリストをソートします。
|
注意: Oracle Access Managerでは、大/小文字を区別しないロケールベースのソート方式が使用されます。 |
セレクタは、検索機能および検索の結果を集計する機能を提供します。たとえば、グループを作成する場合は、「グループ・マネージャ」タブをクリックし、「グループの作成」サブタブをクリックすると、選択ボタンのあるページが表示されます。
選択ボタン(この例では「メンバーの選択」)をクリックすると、セレクタが表示されます。
セレクタのランディング・ページは、「完了」ボタン、「取消」ボタンおよび空の選択済項目リストが表示された空白の検索ページです。このページで検索機能を使用する場合は、セレクタを使用して、取得した項目を「選択」リストに移動できます。
「ヘルプ」リンクは、アイデンティティ・システム画面の右上、およびアクセス・システム画面のサイド・ナビゲーション・バーにあります。オンライン・ヘルプにアクセスするには、このリンクをクリックします。
オンライン・ヘルプ・ウィンドウで、次のタスクを実行できます。
スクロールしてヘルプ・トピック全体を表示します。
「目次」をクリックしてトピックのリストを表示します。
「戻る」または「進む」をクリックして他のヘルプ・トピックを表示します。
「終了」をクリックしてウィンドウを閉じます。
「バージョン情報」ページへのリンクは、アイデンティティ・システム・ページとアクセス・システム・ページの右上にあります。「バージョン情報」リンクをクリックすると、オラクル社の住所、電話番号およびその他の連絡先情報と、著作権情報が表示されます。
「システム情報の表示」ボタンでは、サーバーのプラットフォームとバージョン、およびOracleに関する連絡先情報が表示されます。
「ログアウト」リンクは、アイデンティティ・システム・ページとアクセス・システム・ページの上部にあります。デフォルトでは、アイデンティティ・システムからログアウトすると、アクセス・システムからも自動的にログアウトします。また、アクセス・システムからログアウトすると、アイデンティティ・システムからも自動的にログアウトします。
Oracle Access Managerの使用が終了したら、権限を持たない人々が情報にアクセスすることを防ぐために、ログアウトしてブラウザを閉じる必要があります。
デフォルトでは、セッションは3時間後に期限切れになります。タイムアウトを変更するには、「セッション・タイムアウトの構成」で詳細を参照してください。
|
注意: Firefoxでは、ログアウト後にブラウザ・ウィンドウを手動で閉じることを求めるプロンプトが表示されます。 |
