| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この章では、Access Manager固有の設定について説明します。この章は、次のトピックで構成されています。
この項では、この章のタスクの要件を明らかにします。この章のタスクを開始する前に、次のトピックを確認してください。
「システム構成」タブの「Access Managerの設定」セクションには、Access Managerのサービスの操作に固有の設定が数多く用意されています。
表8-1 Access Managerの設定
| 設定 | 参照先 |
|---|---|
|
ロード・バランシング |
Access Managerのロード・バランシングとセキュア・エラー・モードの管理 |
|
SSO |
|
|
アクセス・プロトコル |
OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理 |
|
ポリシー |
|
ここでは、次の内容について説明します。
図8-3に、「Access Managerの設定」ページの「ロード・バランシング」の設定セクションを示します。これは従来、「SSOエンジン」設定の一部でした。SSOエンジンはユーザー・セッションのコントローラです。設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。表8-4で、各要素とその使用方法を説明します。
表8-2 「Access Managerの設定」: 「ロード・バランサ」
| 要素 | 説明 |
|---|---|
|
OAMサーバー・ホスト |
OAMがインストールされるコンピュータの名前。 |
|
OAMサーバー・ポート |
ホストがリスニングするポート。1から65535の範囲の値を指定できます。 |
|
OAMサーバー・プロトコル |
HTTPまたはHTTPSです。 |
|
サーバー・エラー・モード |
ここで選択する設定によって、操作が失敗したとき(ユーザー名またはパスワードが無効、サーバー・エラー(LDAPサーバーへの接続が切れている)など)にOAMサーバーによって返されるエラー・メッセージの性質や、エラー・コードが決まります。 次のいずれかの設定を選択し、カスタム・ログイン・ページのエラー・メッセージと各セキュリティ・レベルを構成します。
|
表8-3に、エラー・コード、トリガー条件、推奨のメッセージを示します。これらのエラー・コードはサーバー・エラー・モードに基づいており、公開されません。
表8-3 外部エラー・コード、トリガー条件、推奨メッセージ
| 外部エラー・コード | トリガー条件 | 推奨される表示メッセージ |
|---|---|---|
|
OAM-1 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
|
OAM-2 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
|
OAM-3 |
送信された資格証明の処理がなんらかの理由で失敗しました。たとえば、WNAモードでSPENGOトークンが受信されない場合などです。 |
内部エラー。 |
|
OAM-4 |
なんらかの理由で認証例外が発生しました。 |
システム・エラーです。システム管理者に連絡してください。 |
|
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIM統合。パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
|
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIM統合なしのOID: パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
|
OAM-5 |
ユーザー・アカウントが無効です。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
|
OAM-6 |
ユーザーが許可される最大セッション数を超えました。これは構成可能な属性です。 |
ユーザーはすでにセッションの最大許容数に達しました。ログインを再試行する前に、既存のセッションの1つをクローズしてください。 |
|
OAM-7 |
失敗の原因はいくつか考えられます。セキュリティ上の理由により、正確な理由はユーザー・レベルに伝播されません。次に例を示します。
特定のメッセージが伝播されていない場合、デフォルトのエラー・メッセージが表示されます。 |
システム・エラーです。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagerコンソールでAccess Managerのロード・バランシング設定を変更できます。
共通のロード・バランシング仕様を表示または編集する手順
「システム構成」タブの「Access Managerの設定」セクションから、「Access Managerの設定」を開いてページを表示します。
「Access Managerの設定」ページで、ロード・バランシングのセクションを展開します。
表示のみ: 終了する場合はページを閉じます。
変更: 残りの手順を実行して、構成を編集します。
表8-2の詳細に基づいて、デプロイメントの必要に応じて、設定を編集します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
「SSOトークンとIPの検証の管理」に進みます。
ここでは、次の内容について説明します。
図8-3に、「Access Managerの設定」ページのシングル・サインオン(SSO)の部分を示します。表8-4で、各要素とその使用方法を説明します。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagerコンソールでAccess Managerのロード・バランシング設定を変更できます。
Access ManagerのSSO仕様を表示または編集する手順
「システム構成」タブの「Access Managerの設定」セクションから、「Access Managerの設定」を開いてページを表示します。
「Access Managerの設定」ページで、「SSO」セクションを展開します。
表示のみ: 終了する場合はページを閉じます。
変更: 残りの手順を実行して、構成を編集します。
表8-4の詳細に基づいて、デプロイメントの必要に応じて、設定を編集します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
この項の内容は次のとおりです。
表8-5は、簡易モードと証明書モードの共通点を示します。
表8-5 サマリー: 簡易モードと証明書モード
| アーティファクトまたはプロセス | 簡易モード | 証明書モード | オープン・モード |
|---|---|---|---|
|
X.509デジタル証明書のみ。 |
X |
X |
なし |
|
OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246(TLS v1)を使用して暗号化されます。 |
X |
X |
なし |
|
aaa_key.pem openSSLにより生成 |
aaa_key.pem CAにより生成 |
なし |
|
|
プライバシ強化メール(PEM)フォーマットの署名された証明書 |
openSSLにより生成されるaaa_cert.pem |
CAにより生成されるaaa_cert.pem |
なし |
|
OAMサーバーの構成中に、使用するモードに応じて、秘密鍵をグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebgateで秘密鍵を使用するには、正しいパスフレーズが必要です。 |
最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ:
|
PEMフォーマット:
|
なし |
|
OAMエージェントまたはOAMサーバーの登録中に、通信モードがOracle Access Managerコンソールに伝播されます。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて同じパスフレーズ。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。 |
なし |
|
Webgateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。 ルートCAは、Webgate証明書を返します。この証明書は、Webgateのインストール中またはインストール後にインストールできます。 |
cacert.pem Oracle提供のopenSSL認証局により署名された証明書リクエスト |
aaa_req.pem 使用する認証局により署名された証明書リクエスト |
なし |
|
DESアルゴリズムを使用して秘密鍵を暗号化します。次に例を示します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des
|
なし |
X |
なし |
|
エージェント・キー・パスワード |
なし |
「証明書」セキュリティ・モードでエージェントの登録中にパスワードを入力します(表9-4)。 |
なし |
|
エージェント登録時に、ObAccessClient.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/config/OHS/ohs1/webgate/config 条件: 11gWebgate_instance_dir=Oracle_Home/instance/instance1 10g Webgateの場合: $Webgate_install_dir/oblix/lib |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
|
エージェント登録時に、password.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 付録E |
password.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
password.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
なし |
|
エージェント登録時に、aaa_key.pemが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 付録E |
aaa_key.pem 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
aaa_key.pem 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
なし |
表8-6は、簡易または証明書モードの構成に必要な設定を示します。
表8-6 サーバー共通のOAMプロキシ・セキュア通信の設定
| モード | 説明 |
|---|---|
|
簡易モード構成 |
OAMが署名したX.509証明書を使用した通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。 管理者はこのパスフレーズを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。 |
|
証明書モード構成 |
外部の認証局により署名された証明書モードのX.509証明書が存在するキーKEYSTOREStoreに必要な詳細。
注意: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。 管理者は、別名とパスワードを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。 |
管理者はこの手順を使用して、共通OAMプロキシの設定を確認または変更できます。
OAMプロキシの簡易または証明書モード設定を表示あるいは編集する手順
「システム構成」タブの「Access Managerの設定」セクションで、「Access Managerの設定」ページを開きます。
ページの「アクセス・プロトコル」セクションを、必要に応じて展開します。
簡易モードの場合: OAMが署名したX.509証明書を使用する場合は、「グローバル・パスフレーズ」を追加または変更します。
証明書モードの構成: 次の詳細を指定します。
PEMキーストア別名
PEMキーストア別名パスワード
「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
必要に応じてエージェント登録ページを更新してアーティファクトを再生成し、第9章または第10章の説明に従って初期のアーティファクトを置き換えます。
この項では次の内容について説明します。
図8-4に、「Access Managerの設定」ページの「ポリシー」セクションを示します。このセクションには、「リソース一致キャッシュ」と「認可結果キャッシュ」の設定項目があり、この設定は実行時のポリシー評価に使用されます。
表8-7は、すべてのサーバーおよびリクエストに適用されるこれらのグローバル設定の概要を示します。
表8-7 ポリシー評価キャッシュ
| 要素 | 説明 |
|---|---|
|
リソース一致キャッシュ |
リクエストされたURLと、そのURLに適用されるリソース・パターンを保持するポリシー間のマッピングをキャッシュ化します。 デフォルト値:
|
|
認可結果キャッシュ |
リクエストされたURLおよびユーザーのポリシー決定をキャッシュ化します。 デフォルト値:
|
Oracle Access Manager 11gでは、各認証スキームに認証モジュールが必要です。この項では、事前構成済の認証モジュールと、管理者がカスタム・モジュールを定義する方法について説明します。内容は次のとおりです。
Oracle Access Managerコンソールでは、「システム構成」タブで事前構成済認証モジュールが他のシステムレベル・コンポーネントとともに編成されます。
次の事前構成済認証モジュール・タイプのみが認証スキームで許可されます。ただし、既存のタイプの新しいモジュールを作成して認証スキームで使用できます。詳細は、次を参照してください。
|
関連項目:
|
事前構成済Kerberos認証モジュールを図8-5に示します。詳細は、図の後に説明します。
表8-8は、Kerberos認証モジュールの定義を示しています。既存の事前構成済Kerberos認証モジュールを使用するか、独自のモジュールを作成できます。
表8-8 Kerberos認証モジュールの定義
| 要素 | 説明 |
|---|---|
|
名前 |
大文字および小文字の英字、数値および空白を使用できるこのモジュールの一意のID。 |
|
キー・タブ・ファイル |
キー配布センター(KDC)の認証に必要となる、ホストのキーの暗号化されたローカルのディスク上のコピーへのパス。たとえば、/etc/krb5.keytabなどです。 KDCは、リクエストしているユーザーを認証し、ユーザーにリクエストされたサービスのアクセスが認可されていることを確認します。認証されたユーザーがすべての所定の条件を満たしている場合、KDCはサーバー・キーに基づくアクセスを許可するチケットを発行します。クライアントはチケットを受け取り、適切なサーバーに送信します。サーバーは、送信されたチケットを確認し、送信したユーザーにアクセス権を付与できます。 キー・タブ・ファイルは、rootによってのみ読取り可能であること、およびマシンのローカル・ディスク上に存在することが必要です。バックアップ・データへのアクセスが、マシンのrootパスワード自体へのアクセスと同じくらい厳密に保護されていないかぎり、バックアップの一部にはできません。 |
|
プリンシパル |
ホストのキータブの生成を有効化するKerberosデータベースのプリンシパルのHTTPホストを識別します。 |
|
KRB構成ファイル |
Kerberosインストールの特定の側面を制御する構成ファイルのパスを識別します。krb5.confファイルは、Kerberosを実行している各UNIXコードの/etcディレクトリに存在する必要があります。 krb5.confには、Kerberos V5ライブラリに必要な構成情報が含まれます(デフォルトのKerberosレルムおよび既知のレルムのKerberosキー配布センターの場所)。 |
事前構成済LDAP認証モジュールを図8-5に示します。詳細は、図の後に説明します。
表8-9は、LDAP認証モジュールの要素を示しています。同じ要素と値がLDAPNoPasswordAuthnModuleでも使用されます。
表8-9 LDAP認証モジュールの定義
| 要素 | 説明 |
|---|---|
|
名前 |
このモジュールの一意の名前。 |
|
ユーザー・アイデンティティ・ストア |
このモジュールの認証に必要なユーザー資格証明を含むプライマリ・ユーザー・アイデンティティ・ストア。LDAPストアをOAM 11gに登録して、このリストに表示する必要があります。 関連項目: 「ユーザー・アイデンティティ・ストアの管理」 インストール時には、ユーザー・アイデンティティ・ストアは1つのみで、それがシステム・ストアでもあります。アイデンティティ・ストアを追加し、別のストアをシステム・ストアとして指定する場合には、必ずそのシステム・ストアを参照するようにLDAPモジュールを変更してください。OAMAdminConsoleScheme (認証スキーム)は、管理者ロールと資格証明をLDAPモジュールに依存します。変更する場合: |
Oracle Access Managerは、デフォルトとして事前定義済X509認証モジュールを用意しています。管理者は、新しいX509認証モジュールも作成できます。暗号化の表現のX.509は、シングル・サインオン(SSO)に使用されるデジタル公開鍵証明書の標準です。X.509では、特に公開鍵証明書、証明書失効リストおよび属性証明書の標準形式を指定します。
X.509デジタル証明書を使用すると、証明書を発行する認証局(CA)の厳密な階層システムを取得できます。X.509システムで、CAは、特定の識別名または電子メール・アドレスやDNSエントリなどの代替名に公開鍵をバインドする証明書を発行します。
企業のPKIシステムで使用できるように、企業の信頼されたルート証明書をすべての従業員に配布できます。SSL証明書をすぐに使用できるように、特定のWebブラウザは、事前インストールされたルート証明書を用意しています。
Oracle Access Managerは、オンライン証明書ステータス・プロトコル(OCSP)インターネット・プロトコルを使用して、サーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスします。OCSPは、X.509デジタル証明書の失効ステータスの取得に使用されます。OCSPは、証明書ステータスを含むサーバーおよびそのステータスを通知されるクライアント・アプリケーション間で使用される通信構文を指定します。
ユーザーがサーバーにアクセスしようとすると、OCSPによって証明書ステータス情報に対するリクエストが送信されます。OCSPは、特定のネットワーク・ホストが特定の時間に特定の証明書を使用していたことをリクエスタに公開します。サーバーは、現在、期限切れまたは不明のレスポンスを戻します。OCSPは、期限が切れた証明書を使用するユーザーに更新前の指定された期間にサーバーにアクセスできる構成可能な猶予期間を与えます。
OCSPメッセージはASN.1で暗号化され、HTTPで一般的に転送されます。OCSPのリクエストおよびレスポンス特性では、OCSPサーバーを参照する場合に「OCSP応答者」という用語を使用します。Oracle Access Managerを使用する場合、Oracle Access ManagerコンソールをホストするコンピュータはOCSP応答者です。
OCS応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻すことができます。
表8-10は、X509認証モジュールの要件を示しています。
表8-10 X509認証モジュールの定義
| 要素 | 説明 |
|---|---|
|
名前 |
一意の名前でこのモジュール定義を識別します。 |
|
一致するLDAP属性 |
特定の「X509証明書属性」値に対して検索されるLDAP識別名属性を定義します。 たとえば、証明書のサブジェクトEMAILがxyz@abc.comで、それがLDAP属性の"mail"に一致する必要がある場合、LDAP問合せは、xyz@abc.com (cn)という値を持つ"mail"属性をLDAPから検索する必要があります。 |
|
X509証明書属性 |
公開鍵のバインドに使用される証明書属性を定義します(サブジェクト内の属性、証明書から抽出される発行者スコープ。たとえば、subject.DN、issuer.DN、subject.EMAIL)。 |
|
証明書検証有効 |
X.509証明書の検証を有効化(選択されていない場合は無効化)します。 |
|
OCSP有効 |
オンライン証明書ステータス・プロトコルを有効化(選択されていない場合は無効化)します。 注意: 「OCSP有効」を選択した場合のみ、OCSPサーバー別名、OCSP応答者URLおよびOCSP応答者タイムアウトが必要です。 |
|
OCSPサーバー別名 |
.oamkeystoreファイルのCA証明書を指すOSCSP応答者の別名--別名およびOSCSP応答者インスタンスの実際のインスタンス名またはIPアドレスのマッピング。 |
|
OCSP応答者URL |
オンライン証明書ステータス・プロトコル応答者のURLを入力します。 |
|
OCSP応答者タイムアウト |
証明書の更新前の限定された期間にOAMサーバーにアクセスできる期限が切れた証明書を使用するユーザーの猶予期間を指定します。 |
有効な管理者の資格証明を持つユーザーは、次の手順を使用して既存のタイプの新しい認証モジュールを作成できます。テンプレートとして使用する事前構成済モジュールは複製できません。
|
注意: 認証モジュールは、アクセス・ポリシーにおける認証スキームのコア・コンポーネントです。各認証モジュールが、適切なアイデンティティ・ストアを参照するようにしてください。システム・ストアを変更する場合、新しく指定したシステム・ストアを参照するようにLDAP認証モジュールも変更する必要があります。 |
前提条件
|
関連項目: カスタム・プラグイン用の認証モジュールを作成する場合は、『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service開発者ガイド』 |
既存のタイプの新しい認証モジュールを作成する手順
「システム構成」タブの「Access Managerの設定」セクションから、「認証モジュール」ノードを展開します。
「認証モジュール」ノードで目的のモジュール・タイプをクリックします。
LDAP認証モジュール
Kerberos認証モジュール
X509認証モジュール
ツール・バーの「作成」ボタンをクリックします。
新しい認証モジュールの詳細を追加します。
「適用」をクリックして新しい定義を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
ナビゲーション・ツリーでエントリを確認し、終了する場合はページを閉じます。
「認証スキームの管理」の手順に従って、認証モジュールを1つ以上の認証スキームに追加します。
有効な管理者の資格証明を持つユーザーは、次の手順を使用して既存の認証モジュールを変更できます。これには、既存のモジュール名の変更および他の属性の変更が含まれます。
前提条件
別の認証モジュールを使用するには、変更されるモジュールを参照する各認証スキームを変更します。
認証モジュールを検索、表示または編集する手順
このモジュールを参照する各認証スキームの別の認証モジュールに変更します。
「システム構成」タブの「Access Managerの設定」セクションから、次のノードを展開します。
「認証モジュール」ノード
モジュール・タイプ・ノードを拡張します。
目的のモジュール名をダブルクリックして、構成を表示します。
オプション: 表示の確認のみであれば、ページを閉じます。
認証モジュール・ページで、必要に応じて情報を変更します。
「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
「認証スキームの管理」の手順に従って、更新された認証モジュールを認証スキームに追加します。
有効な管理者の資格証明を持つユーザーは、次の手順を使用して認証モジュールを削除できます。
次の手順は、カスタム認証モジュールと標準認証モジュールのどちらを削除する場合でも同じです。
前提条件
削除するモジュールを参照している各認証スキームで、別の認証モジュールを指定します。
認証モジュールを削除するには、次の手順を実行します。
このモジュールを参照する各認証スキームでは、別の認証モジュールを指定します。
「システム構成」タブの「Access Managerの設定」セクションから、次のノードを展開します。
「認証モジュール」ノード
モジュール・タイプ・ノードを拡張します。
オプション: モジュール名をダブルクリックして構成を表示し、ウィンドウを閉じます。
目的のモジュール名をクリックし、「削除」ボタンをクリックします。
削除を確認します(またはモジュールを保持する確認ウィンドウを閉じます)。
ここでは、次の内容について説明します。
各カスタム認証モジュールには、次のタイプの情報が必要です。
一般
ステップ
ステップ編成
図8-8に、「システム構成」ツリーの「Access Managerの設定」にある「カスタム認証モジュール」を示します。モジュールの情報を入力する3つのサブタブも表示されています。
「一般」サブタブには、モジュールの「名前」と説明(オプション)のためのフィールドがあります。名前は、最大60文字で指定できます。オプションの説明は250文字までです。
新規のステップを追加するときには、次のダイアログ・ボックスが表示されます。ここで入力する情報を使用して、表と、ページの「詳細」セクションにデータが移入されます。
表8-11では、新規ステップの追加に必要な情報について説明します。
表8-11 「新規ステップの追加」のエントリ、ステップの結果表、「詳細」セクション
| 要素 | 説明 |
|---|---|
|
ステップ名 |
ステップを追加するときに入力する一意の名前。 |
|
説明 |
ステップを追加するときにオプションで入力する、このステップの説明。 |
|
プラグイン名 |
ステップを追加するときに選択するプラグイン名。 |
|
ステップの詳細 |
結果表で選択したステップの詳細と、プラグインを追加するときに設定されるプラグインの構成詳細。次で説明されているとおり、選択するプラグインによって異なります。 |
図8-10は、カスタム認証モジュールの「ステップ」サブタブと「詳細」セクションを示しています。ステップを追加するとき、表に表示されるデータはありません。1つ以上のステップを追加すると、表と「詳細」セクションにデータが移入されます。
図8-11は、カスタム認証モジュールの「ステップ編成」サブタブを示しています。このサブタブには、定義された各ステップ(および各操作条件に対して選択したアクション)の情報が移入されます。
表8-12では、「ステップ編成」サブタブの要素について説明します。OnSuccess、OnFailure、OnErrorで選択できるリストの項目は次のとおりです。
success
failure
StepName (モジュールの任意のモジュールを、操作条件のアクションとして選択できます)
表8-12 「ステップ編成」サブタブ
| 要素 | 説明 |
|---|---|
|
初期手順 |
リストから開始ステップを選択します。リストに含まれるのは、このモジュールに定義されているステップのみです。 |
|
名前 |
追加された各ステップが、追加するときに入力した名前別にリストされます。 |
|
説明 |
ステップを追加するときにオプションで入力した、このステップの説明。 |
|
OnSuccess |
このステップの操作が成功した場合に選択されるアクション。選択できるアクションがリストに示されます。
|
|
OnFailure |
このステップが失敗した場合に選択されるアクション。選択できるアクションがリストに示されます。
|
|
OnError |
このステップを実行してエラーになる場合に選択されるアクション。選択できるアクションがリストに示されます。
|
Oracle Access Manager 11gには、独自のカスタム認証モジュールを作成し、認証スキームに割り当てることができるマルチステップの認証モジュールにそれを編成するときに使用できるカスタム認証モジュール・プラグインが、いくつか用意されています。各モジュールは、独立したユーザー・アイデンティティ・ストアを参照できます。
KerberosPlugin
図8-12は、Oracle Access Manager 11gにバンドルされているKerberosPluginを示しています。これはリソースを暗号化された「チケット」にリクエストするユーザーの資格証明(ユーザー名およびパスワード)と一致する資格証明マッピング・モジュールです。
図8-13は、デフォルトのステップと詳細を示しています。図8-14は、ステップの編成と条件を示しています。
LDAPPlugin
図8-15は、Oracle Access Manager 11gにバンドルされているLDAPPluginを示しています。デフォルトでは、図8-16のようにLDAPPluginには2つのステップがあります。図8-17は、LDAPpluginのステップのデフォルト編成を示しています。
X509Plugin
図8-18は、Oracle Access Manager 11gにバンドルされているX509Pluginを示しています。X509PluginはLDAPPluginと似ていますが、LDAPのユーザー属性に対して検証する必要があるクライアントのX.509証明書の属性を示すプロパティが追加されています。図8-19は、このプラグインのデフォルトのステップと詳細を示しています。図8-20は、X509Pluginのステップのデフォルト編成を示しています。
表8-13に、X509のサブジェクトの「ステップの詳細」値と代替名をリストします。
表8-13 X509の「ステップの詳細」: 証明書から抽出する属性
| issuer.D | サブジェクト |
|---|---|
|
subject. |
EDIPI 注意: EDIPIはElectronic Data Interchange Personal Identifierの略です。 |
|
subjectAltName. |
OTHER_NAME (FASC-N) 注意: FASC-NはFederal Agency Smart Credential Numberの略です。 |
|
subjectAltName. |
RFC822_NAME |
|
subjectAltName. |
UNIFORM_RESOURCE_IDENTIFIER |
例: OCSPを使用したユーザー証明書の検証
この例では、オンライン証明書ステータス・プロトコル(OCSP)としてOpenSSLを使用してユーザー証明書を検証する方法を説明します。
「既存のタイプの新しい認証モジュールの作成」の説明に従って、新規のX509認証モジュールを作成します。
次のように、カスタムのX509プラグインを作成します(「カスタム認証モジュールの作成」も参照)。
「システム構成」、「Access Managerの設定」、「カスタム認証モジュール」
「一般」タブ:
名前: CustomX509Plugin。
説明: X509のプラグイン。
「ステップ」タブ:
「+」をクリックしてプラグインを追加します。
「名前」、「説明」を設定し、「X509CredentialExtractor」プラグインを選択します。
ステップの詳細:
「+」をクリックしてプラグインを追加し、「名前」、「説明」を設定して「X509CredentialExtractor」プラグインを選択します。
「X509CredentialExtractor」プラグイン: KEY_IS_CERT_VALIDATION_ENABLEDを"true"に設定します。
この属性で抽出される証明書属性KEY_CERTIFICATE_ATTRIBUTE_TO_EXTRACT(デフォルトでは、この値はsubject.CNに設定されます)。表8-13を参照してください。
「Save」ボタンをクリックします。
プラグインの追加:
「+」をクリックしてプラグインを追加します。
「名前」、「説明」を設定し、「X509CredentialExtractor」プラグインを選択します。
ステップの詳細:
ステップの詳細: KEY_IDENTITY_STORE_REFは、必要なアイデンティティ・ストアに設定する必要があります。
KEY_LDAP_FILTER属性にLDAPフィルタを追加します。次に例を示します。
(&(uid=
Unknown macro: {subject.CN}
)(mail=
Unknown macro: {subject.E}
))
必要な場合は、KEY_SEARCH_BASE_URL属性にユーザー検索ベースを追加します。
「Save」ボタンをクリックします。
ステップ編成:
最初のステップ: ドロップダウンから「X509CredentialPlugin」ステップを選択します。
成功時: 「X509CredentialPlugin」ステップで、ドロップから「UserIdentificationPlugin」ステップを選択します。
成功時: 「UserIdentificationPlugin」ステップで、ドロップダウンからsuccessステップを選択します。
失敗時: 「X509CredentialPlugin」と「UserIdentificationPlugin」のステップでfailureを選択します。
エラー発生時: 「X509CredentialPlugin」と「UserIdentificationPlugin」のステップでfailureを選択します。
「適用」ボタンをクリックし、プラグインが正常に作成されたことを示す確認ウィンドウを確認します。
OCSPを使用して、「証明書検証」と「証明書失効」に証明書検証モジュールを設定します。
Oracle Access Managerコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効」リスト・セクションで、「有効」ボックスが選択されていることを確認し、「保存」をクリックします。
「OCSP/CDP」セクションでOCSPを有効にし、OCSPのURLと、OCSPサーバーの証明書のサブジェクトを入力し、「保存」をクリックします。
コマンドラインでJavaのkeytoolアプリケーションを使用し、信頼できる証明書のエントリとして$DOMAIN_HOME/config/fmwconfig/amtruststoreキーストアに信頼できる証明書をインポートします。
|
注意: 初期状態ではキーストアは空です。パスワードは、Java keytoolアプリケーションを最初に使用するときに設定されます。 |
有効な管理者の資格証明を持つユーザーは、次の手順を使用して、1つ以上の認証プラグインを使用するカスタム認証モジュールを作成できます。
前提条件
モジュールに関連付けられているユーザー・アイデンティティ・ストアが実行中であり、必要なユーザー移入が含まれていることを確認します。
バンドルされているプラグインを使用してカスタム認証モジュールを作成する手順
「システム構成」タブの「Access Managerの設定」セクションから、「認証モジュール」ノードを展開します。
新規作成:
「カスタム認証モジュール」ノードをクリックします。
「作成」(+)ボタンをクリックします。
一般的な情報の追加: 「名前」と、オプションの「説明」。たとえば、順に「CustomX509Plugin」と「X509のプラグイン」とします。
「適用」をクリックして一般情報を保存します。
ステップの追加:
「ステップ」サブタブをクリックします。
「ステップ」表の上にある「追加」(+)ボタンをクリックします。
「新規ステップの追加」ダイアログ・ボックスで、一意の「ステップ名」と、オプションで「説明」を入力します。
目的のプラグイン名を参照して選択し、「OK」をクリックします。
結果表の情報を確認します。
モジュールに必要なすべてのプラグインがリストされるまで、bからeを繰り返して他のステップを追加します。
各ステップの「詳細」の構成: 必要なパラメータに適切な値を使用します(表8-11と表8-13)。
表でステップ名をクリックすると、必要な詳細が表示されます。
必要な詳細に適切な値を入力します。
「Save」ボタンをクリックします。
aからdを繰り返し、各ステップを適切に構成します。
ステップで割り当てるユーザー・アイデンティティ・ストアに、ユーザーがプロビジョニングされていることを確認します。
ステップの編成: 表8-12を参照して、次の手順を実行します。
「ステップ編成」サブタブをクリックします。
「最初のステップ」リストで、使用する最初のステップの名前を選択します。
表でステップ名を選択します。
「OnSuccess」リストから、条件(successまたはfailure)またはステップ名を選択します。
「OnFailure」リストから必要な条件またはステップ名を選択します。
「OnError」リストから必要な条件またはステップ名を選択します。
cからeを繰り返し、このモジュールの各プラグインの操作を編成します。
編成を確認します。
方針の検証の開始: 「適用」をクリックして、編成方針の検証を開始します。
方針が正常な場合: 編成方針が適用され、認証スキームにモジュールを追加できるようになります。ステップ9と10を続行します。
方針が無効な場合: 「エラー」ボックスで「OK」をクリックし、OnSuccess、OnFailure、OnErrorの方針を編集(プラグインを追加または削除)して問題を修正します。方針が成功するまでこの手順を繰り返します。
ナビゲーション・ツリーで新しいカスタム認証モジュールがリストされていることを確認し、終わったらページを閉じます。
これで、認証スキームでカスタム・モジュールを使用する準備ができました。
