Access Manager の各パッチリリースの新機能については、「Access Manager 7 2005Q4 パッチリリース」を参照してください。Access Manager 7 2005Q4 の初期リリースには、次の新機能が含まれています。
Access Manager 7 2005Q4 には、レルムモードおよび旧バージョンモードが含まれます。両方のモードで次の機能がサポートされます。
新しい Access Manager 7 2005Q4 の機能
次の制限事項を除く Access Manager 6 2005Q1 の機能
レルムが作成された場合、Sun Java System Directory Server には対応する組織は作成されません。
新しい Access Manager 7 2005Q4 コンソールでは、サービスクラス (CoS) テンプレートの優先度を設定できません。「新しい Access Manager コンソールは CoS テンプレート優先度を設定できない (6309262)」を参照してください。
Sun Java System Directory Server およびその他のデータストアでのアイデンティティーリポジトリ
次の場合は旧バージョンモードが必要です。
Sun Java System Portal Server
Messaging Server、Calendar Server、Instant Messaging、Delegated Administrator などの、Sun Java System Communications Services サーバー
Access Manager 6 2005Q1 および Access Manager 7 2005Q4 が同じ Directory Server にアクセスする場合の共存配備
Access Manager コンソールは、このリリースのために再設計されました。ただし、Access Manager が Portal Server、Messaging Server、Calendar Server、Instant Messaging、または Delegated Administrator とともに配備される場合、Access Manager を旧バージョンモードでインストールし、Access Manager 6 2005Q1 コンソールを使用する必要があります。
詳細は、「互換性の問題」を参照してください。
Access Manager のアイデンティティーリポジトリには、ユーザー、グループ、およびロールなどのアイデンティティーに関する情報が含まれます。アイデンティティーリポジトリは、Access Manager または Sun Java System Identity Manager などのプロビジョニング製品のどちらかを使用して作成または維持できます。
現在のリリースでは、アイデンティティーリポジトリは Sun Java System Directory Server または Microsoft Active Directory のどちらかに常駐できます。Access Manager は、アイデンティティーリポジトリに対する読み取り/書き込みアクセス権または読み取り専用アクセス権を持つことができます。
Access Manager 情報ツリーには、システムアクセスに関連する情報が含まれます。それぞれの Access Manager インスタンスは、Sun Java System Directory Server 内で別々の情報ツリーを作成し、維持します。Access Manager 情報ツリーには、任意の名前 (サフィックス) を付けることができます。Access Manager 情報ツリーには、次の節で説明するレルム (必要に応じてサブレルム) が含まれます。
レルムおよび任意のサブレルムは Access Manager 情報ツリーの一部であり、ユーザーまたはグループあるいはその両方を定義する設定情報、ユーザーの認証方法、ユーザーがアクセスできるリソース、ユーザーがリソースへのアクセス権を与えられた後にアプリケーションで利用可能な情報が含まれます。レルムまたはサブレルムには、国際化設定、パスワードリセット設定、セッション設定、コンソール設定、およびユーザー設定などの、その他の設定情報も含まれます。レルムまたはサブレルムは、空であってもかまいません。
レルムを作成するには、Access Manager コンソールまたは amadmin CLI ユーティリティーのどちらかを使用します。詳細は、コンソールのオンラインヘルプまたは『Sun Java System Access Manager 7 2005Q4 管理ガイド』の第 14 章「amadmin コマンド行ツール」を参照してください。
Access Manager は、Sun Java System Message Queue (Message Queue) を通信ブローカとして、また Sleepycat Software, Inc. による Berkeley DB をセッションストアデータベースとして使用し、Web コンテナに依存しないセッションフェイルオーバーの実装を提供します。Access Manager 7 2005Q4 の拡張機能には、セッションフェイルオーバー環境を設定するための amsfoconfig スクリプト、Message Queue ブローカや Berkeley DB クライアントを起動および停止するための amsfo スクリプトが含まれます。
詳細は、『Sun Java System Access Manager 7 2005Q4 配備計画ガイド』の「Access Manager セッションフェイルオーバーの実装」を参照してください。
セッションプロパティーの変更通知機能により、特定のセッションプロパティーに変更が生じた場合に、Access Manager が特定のリスナーに通知を送信することができるようになります。この機能は、Access Manager 管理コンソールで「プロパティーの変更通知を有効」属性が有効になっている場合に有効になります。たとえば、シングルサインオン (SSO) 環境では、1 つの Access Manager セッションを複数のアプリケーションで共有できます。「通知プロパティー」リストで定義された特定のセッションプロパティーに変更が発生した場合、Access Manager は登録されたすべてのリスナーに通知を送信します。
詳細は、『Sun Java System Access Manager 7 2005Q4 配備計画ガイド』の「セッションプロパティー変更通知の有効化」を参照してください。
セッション割り当て制限機能により、Access Manager 管理者 (amadmin) が「アクティブなユーザーセッション」属性を設定して、ユーザーに許可されている並行セッションの最大数を制限できます。管理者は、すべてのユーザーに対してグローバルレベルで、または、1 人以上の特定のユーザーにのみ適用される組織、レルム、ロール、ユーザーなどのエンティティーに対して、セッション割り当て制限を設定することができます。
デフォルトでは、セッション割り当て制限は無効 (OFF) ですが、管理者が Access Manager 管理コンソールで「割り当て制限を有効」属性を有効にした場合は、これを有効にすることができます。
管理者は、「セッション制限がいっぱいになった場合に生じる動作」属性を設定して、セッション割り当て制限がいっぱいになった場合の動作を設定することもできます。
DENY_ACCESS: Access Manager は、新しいセッションへのログイン要求を拒否します。
DESTROY_OLD_SESSION: Access Manager は、同じユーザーの次に有効期限切れとなる既存のセッションを破棄し、新しいログイン要求が成功するようにします。
「トップレベルの管理者に制限の確認を免除」属性は、「Top-level Admin Role」を持つ管理者にセッション割り当て制限を適用するかどうかを指定します。
詳細は、『Sun Java System Access Manager 7 2005Q4 配備計画ガイド』の「セッション割り当て制限の設定」を参照してください。
Access Manager 7 2005Q4 には分散認証 UI が含まれています。これは、配備内の 2 つのファイアウォール間のセキュリティー保護された分散認証を提供するリモート認証 UI コンポーネントです。分散認証 UI コンポーネントを使用しないと、Access Manager サービス URL がエンドユーザーに公開されてしまう可能性があります。これは、プロキシサーバーを使用して防ぐこともできますが、プロキシサーバーが必ずしもすべての配備に適しているとは限りません。
分散認証 UI コンポーネントは、Access Manager 配備のセキュリティー保護されていない (DMZ) レイヤー内の 1 つまたは複数のサーバーにインストールします。分散認証 UI サーバーでは、Access Manager を実行しません。Web ブラウザを通じて、エンドユーザーとの認証インタフェースを提供するためにのみ存在します。
エンドユーザーが分散認証 UI に HTTP 要求を送信すると、ログインページが表示されます。次に、分散認証コンポーネントは、2 つ目のファイアウォールを通じて、Access Manager サーバーにユーザーの要求を送信します。これによって、エンドユーザーと Access Manager サーバー間のファイアウォールに穴を開ける必要がなくなります。
詳細については、『Technical Note: Using Access Manager Distributed Authentication』を参照してください。
すべての認証モジュール (アウトオブボックス) は拡張され、コンソール UI サポートとともにサブスキーマをサポートします。それぞれのモジュールタイプ (読み込まれたモジュールクラス) ごとに、複数の認証モジュールインスタンスを作成できます。たとえば、LDAP モジュールタイプ用に ldap1 および ldap2 の名前のついたインスタンスでは、それぞれのインスタンスが異なる LDAP ディレクトリサーバーを示すことができます。タイプとして同じ名前のモジュールインスタンスが、下位互換性のためにサポートされています。次のように呼び出します。
server_deploy_uri/UI/Login?module=module-instance-name
組織/レルムに、認証モジュールインスタンスの連鎖である個別の名前空間が作成されます。同じ連鎖を再利用して、組織/レルム、ロール、ユーザーに割り当てることができます。認証サービスインスタンスは、認証連鎖と同じです。次のように呼び出します。
server_deploy_uri/UI/Login?service=authentication-chain-name
個別設定属性
ルール、対象、条件に加え、ポリシーに個別設定属性 (IDResponseProvider) を付加できるようになりました。ポリシー評価からクライアントに送信されるポリシー決定には、適用可能なポリシーにポリシーベースの応答個別設定属性が含まれるようになりました。2 種類の個別設定属性がサポートされています。
静的属性: ポリシー内の属性名と値を定義します。
動的属性: ポリシー内の属性名を列挙します。値はポリシー評価時にアイデンティティーリポジトリデータストアから取得されます。
ポリシー適用ポイント (エージェント) では通常、これらの属性値を HTTP ヘッダー、Cookie、または要求属性として、保護されたアプリケーションに転送します。
Access Manager 7 2005Q4 は、ユーザーによる応答プロバイダインタフェースのカスタム実装をサポートしていません。
セッションプロパティー条件
セッションポリシー条件の実装 (SessionPropertyCondition) では、ユーザーの Access Manager セッションで設定されたプロパティーの値に基づいて、ポリシーが要求に適用可能かどうかを判断します。ポリシーの評価時に、ユーザーの Access Manager セッションですべてのプロパティーが条件に定義されている値を持つ場合にのみ、条件は「true」を返します。条件に複数の値が定義されているプロパティーの場合、ユーザーセッションで条件内に少なくとも 1 つの値がプロパティーに示されていれば十分です。
ポリシー対象
ポリシー対象の実装 (Access Manager アイデンティティー対象) により、設定されたアイデンティティーリポジトリからのエントリをポリシー対象値として使用でるようになります。
ポリシーのエクスポート
amadmin コマンドを使用して、ポリシーを XML 形式でエクスポートできます。amAdmin.dtd ファイル内の新しい GetPolicies および RealmGetPolicies 要素が、この機能をサポートしています。
ポリシーの状態
ポリシーには状態属性が追加され、アクティブまたは非アクティブに設定できます。アクティブでないポリシーは、ポリシーの評価時に無視されます。
Access Manager 7 2005Q4 では「サイトの概念」が導入され、Access Manager の配備を集中設定管理できるようになりました。Access Manager がサイトとして設定されると、クライアント要求は常にロードバランサを経由するため、配備が単純化されると同時にクライアントとバックエンド Access Manager サーバー間のファイアウォールなどの問題が解決されます。
詳細は、『Sun Java System Access Manager 7 2005Q4 配備計画ガイド』の「サイトとしての Access Manager 配備の設定」を参照してください。
Access Manger 7 2005Q4 では、ユーザーアカウントとビジネスパートナーに委託したアプリケーションとの一括連携が行えます。以前は、アカウントの連携ではサービスプロバイダ (SP) とアイデンティティープロバイダ (IDP) との間でそれぞれのユーザーが SP および IDP のサイトにアクセスする必要があり、アカウントが存在しない場合には作成し、Web リンクを経由して 2 つのアカウントを連携する必要がありました。この処理には、多くの時間を必要としました。これは、既存のアカウントが存在する配備、それ自体がアイデンティティープロバイダとして動作するサイト、または片方のパートナーを認証プロバイダとして使用する場合には、必ずしも適切ではありませんでした。
詳細は、『Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide』を参照してください。
Access Manager 7 2005Q4 には、新しいいくつかのログ機能の拡張が含まれています。
新しいフィールド (または列): MessageID フィールドには、ログイベントのメッセージ ID が含まれます。ContextID フィールドにはコンテキスト ID が含まれます。この ID はセッション ID に類似しており、特定のユーザーのログインセッションのすべてのイベントに適用されます。ユーザーの固有のログインセッションでは、ログイベントに対して ContextID はすべてのログファイルで同じになります。
ログ API。API には、データベース (DB) へのログが設定されている場合、DB からのものを含むログレコードの読み取りのための追加が含まれます。/opt/SUNWam/samples/logging ディレクトリにある LogReaderSample.java を参照してください。フラットファイルまたは DB テーブルリポジトリから取得されたログレコードが表示されます。
データベーステーブルは、フラットファイルのログよりもサイズが大きくなる傾向があります。そのため、大量のデータにより Access Manager サーバーリソースがすべて消費される可能性があるので、特定の要求ではデータベーステーブル内のすべてのレコードを取得しないでください。