ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド
11g リリース1 (11.1.1)
B62265-02
索引
次
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
新機能
パッチ・セット1の新機能
リリース11gリリース1 (11.1.1)
製品およびコンポーネントの名前の変更
第I部 Oracle Access Manager with Oracle Security Token Serviceの概要
1
Oracle製品の概要
Oracle Access Managerの概要
Oracle Access Managerのアーキテクチャの概要
Oracle Access Managerのデプロイメント・タイプとインストールの概要
デプロイメントのタイプとOAM
Oracle Access Managementのインストール後のタスクについて
インストールとアップグレードの比較
Oracle Access Manager 11g、10g、OracleAS SSO 10gの比較
Oracle Access Manager 11gの機能拡張
11gで使用できないOracle Access Manager 10gの機能
Oracle Access Manager 11g、10g、OracleAS SSO 10gの比較
Oracle Security Token Serviceの概要
Oracle Security Token Serviceの主な用語と概要
Oracle Access Managerを使用するOracle Security Token Serviceについて
統合されたOracle Web Services Managerについて
Oracle Security Token Serviceのアーキテクチャについて
Oracle Security Token Serviceのデプロイメントについて
一元化されたトークン認証局のデプロイメント
ファイアウォールの背後でのトークンのデプロイメント
WebサービスSSOのデプロイメント
インストール・オプションについて
単一WLSドメインのOracle Security Token Serviceクラスタ
Webサーバー・プロキシによるエンドポイントの露出
リクエスタおよびリライイング・パーティと他のOracle WS-Trustベース・クライアントとの間の相互運用性
Oracle Security Token Serviceインストールの概要
インストール後のタスク: Oracle Security Token Service
Oracle Security Token Serviceの管理について
2
本書の概要
本書の概要
第I部: Oracle製品の概要
第II部: 共通のタスク
共通の管理およびナビゲーションの基礎
サービス、証明書検証、および共通設定の管理
データ・ソース
OAM Serverのインスタンスおよびコンソール
Oracle Access Managerのセッション管理
第III部: Oracle Access Managerの設定
Access Managerの設定
シングル・サインオン・エージェント
第IV部: シングル・サインオン、Oracle Access Managerポリシー、およびテスト
シングル・サインオン
Oracle Access Managerのポリシー・モデルおよび共有ポリシー・コンポーネント
Oracle Access Managerのポリシー・モデル、アプリケーション・ドメインおよびポリシー
接続性およびポリシーのテスト
Oracle Access Manager 11gの集中ログアウト
第V部: Oracle Security Token Service
第VI部: 共通のロギング、監査、パフォーマンス監視
コンポーネント・イベント・メッセージのロギング
Webgateイベント・メッセージのロギング
共通監査フレームワーク
Oracle Access Managerコンソールのパフォーマンス・メトリック
Fusion Middleware Controlのパフォーマンス・メトリック
第VII部: OAM 11gでのOAM 10g Webgateの使用
OAM 11gでのOAM 10g Webgateのプロビジョニング
Apache v2ベースのWebサーバー(OHSとIHS)のための10g Webgateの構成
IIS Webサーバーのための10g Webgateの構成
ISAサーバーのための10g Webgateの構成
OAM 10g WebgateのためのLotus Dominoの構成
第VIII部: 付録
共存: OracleAS SSO 10gにおけるOAM 11g SSOとOAM 10g SSOの比較
OAM 11gのテスト(ソース)から本番環境(ターゲット)への移行
Oracle ADFアプリケーションとの統合
OAM 10g Webgateの国際化とマルチバイト・データ・サポート
安全な通信と証明書の管理
OAM用カスタムWebLogic Scripting Toolのコマンド
IPv6クライアント用OAM 11g
デプロイメント固有ページの作成
トラブルシューティング
第II部 共通タスクに対するコンソールの使用
3
共通の管理およびナビゲーションの基礎
前提条件
管理者について
Oracle Access Managerコンソールのログインとサインアウト
Oracle Access Managerコンソールへのログイン
Oracle Access Managerコンソールからのサインアウト
Oracle Access Managerコンソールおよびコントロールの概要
コンソールのレイアウトおよびコントロール
「ようこそ」ページとショートカット
機能レベルのタブとコントロール
コンテンツのページおよびページ・コントロール
ページの要素
コンソールでのコントロールの選択
ポリシー構成およびシステム構成のタブの概要
「システム構成」タブについて
「ポリシー構成」タブについて
コンソールでの構成詳細の表示
コンソールを使用した検索の実行
コンソールを使用したポリシー要素検索の実行
ポリシー構成検索コントロールについて
ポリシー要素の検索
システム構成要素に対する検索の絞込み
オンライン・ヘルプの使用
コマンドライン・ツール
ロギング、監査、パフォーマンスのモニタリング
4
サービス、証明書検証および共通設定の管理
前提条件
共通構成要素の概要
使用可能なサービスの有効化または無効化
共通設定の管理
「共通設定」ページについて
共通設定の管理
共通のコヒーレンス設定の表示
グローバル証明書検証および失効の管理
証明書検証および失効リストについて
証明書失効リスト(CRL)の管理
証明書検証の管理
CDPの構成
5
共通データ・ソースの管理
前提条件
共通データ・ソースの管理の概要
ユーザー・アイデンティティ・ストアについて
複数のアイデンティティ・ストア
ポリシーおよびセッション・データベース・ストアについて
Oracle Access Manager構成データ・ファイルについて
Oracle Access Managerセキュリティ・キーおよび組込みJavaキーストアについて
Oracle Security Token Serviceキーストアについて
ユーザー・アイデンティティ・ストアの管理
ユーザー・アイデンティティ・ストアの登録ページについて
新規ユーザー・アイデンティティ・ストアの登録
ユーザー・アイデンティティ・ストア登録の表示または編集
ユーザー・アイデンティティ・ストア登録の削除
デフォルト・ストアおよびシステム・ストアの設定
デフォルト・ストアおよびシステム・ストアの設定について
デフォルト・ストアおよびシステム・ストアの定義
管理者ロールの管理
管理者ロールの管理について
管理者ロールの管理
コンソールを使用したポリシー・データベースの管理
Oracle Access Managerのデータベース・デプロイメントについて
セッション・データの個別データベースの構成
6
共通のOAMサーバー登録の管理
前提条件
OAMサーバー登録および管理の概要
OAM 11gとOAM 10gのサーバー側の違いについて
個々のOAMサーバー登録について
埋込みプロキシ・サーバーおよび下位互換性について
OSSOとの組合せにおけるOAM 11g SSOと古いOAM 10g SSOについて
OAMサーバーとWebgate間の通信について
個々のOAMサーバー登録の管理
OAMサーバー登録のページについて
「OAMプロキシ」ページ
個々のサーバーの「コヒーレンス」ページ
新しいOAMサーバー・インスタンスの登録
個々のOAMサーバーおよびプロキシ設定の表示または編集
個々のサーバー登録の削除
7
セッションの管理
前提条件
ユーザー・セッションとセッション管理の概要
ユーザー・セッションのライフサイクルについて
Oracle Coherenceとセッション管理
ユーザー・セッションのライフサイクル設定の構成
共通セッションのライフサイクル設定ページについて
共通セッションのライフサイクル設定の表示または変更
アクティブ・ユーザー・セッションの管理
セッション管理ページについて
アクティブ・ユーザー・セッションの管理
セッション管理操作の検証
セキュリティ
セキュアHTTPSプロトコル
コヒーレンス
データベースの永続性
第III部 Oracle Access Managerの設定管理
8
Access Managerの設定の構成
前提条件
Access Managerの設定の概要
Access Managerのロード・バランシングとセキュア・エラー・モードの管理
Access Managerのロード・バランシング設定とセキュア・エラー・モードについて
OAMサーバーのロード・バランシングとセキュア・エラー・モードの管理
SSOトークンとIPの検証の管理
Access ManagerのSSOトークンとIPの検証の設定について
SSOトークンとIPの検証の管理
OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理
簡易および証明書モードのトランスポート・セキュリティについて
セキュア・サーバー通信の共通OAMプロキシ・ページについて
OAMプロキシの簡易または証明書設定の表示または編集
実行時のポリシー評価キャッシュの管理
実行時のポリシー評価キャッシュについて
実行時のポリシー評価キャッシュの管理
認証モジュールの管理
デフォルト認証モジュールおよびページについて
Kerberos認証モジュール
LDAP認証モジュール
X509認証モジュール
既存のタイプの新しい認証モジュールの作成
認証モジュールの表示または編集
認証モジュールの削除
カスタム認証モジュールの作成
カスタム認証モジュールの作成について
カスタム認証モジュールのプラグインについて
カスタム認証モジュールの作成
9
コンソールを使用したパートナ(エージェントおよびアプリケーション)の登録
前提条件
ポリシーの強制エージェントの概要
ポリシーの強制エージェントについて
事前登録されたIAMSuiteAgentについて
パートナ(エージェントおよびアプリケーション)の登録について
ファイル・システム変更および登録されたエージェントのアーティファクトについて
コンソールを使用したOAMエージェントの登録および管理
Webgate登録の作成と編集について
ユーザー定義のWebgateパラメータについて
Webgate用IPアドレスの検証について
OAMエージェント登録の検索
Webgateまたはプログラム・アクセス・クライアントの登録
OAMエージェント登録の表示または編集
Webgate登録の削除
10gおよび11g Webgateキャッシュのチューニング
Webgateキャッシュの概要
コンポーネント間のネットワーク・トラフィックの削減
Webgateのポーリング頻度の変更
コンソールを使用したOSSOエージェントの登録および管理
OSSOエージェントおよびOSSOプロキシについて
「OSSOエージェントの作成」ページについて
OSSOエージェント(mod_osso)登録の検索の絞込み
OSSOエージェント(mod_osso)の登録
OSSOエージェント(mod_osso)の登録の表示または編集
OSSOエージェント(mod_osso)の削除
10
パートナ(エージェントおよびアプリケーション)のリモート登録
前提条件
リモート・パートナの登録の概要
帯域内リモート登録について
帯域外リモート登録について
キーの使用、生成、プロビジョニングおよび格納について
リモート登録ツールについて
リモート登録のリクエスト・ファイルについて
OSSOリモート登録リクエスト
短い簡易化されたOAMリモート登録リクエスト
リモート登録リクエストの共通要素
リモート登録リクエストのOSSO固有の要素
完全なOAMリモート登録リクエスト
帯域外登録レスポンスについて
登録ツールの取得および設定
登録リクエストの作成
帯域内リモート登録の実行
帯域外リモート登録の実行
リモート登録およびリソース保護の検証
リモート登録の検証
リモート登録後の認証、リソース保護およびアクセスの検証
リモート管理モードの概要
リモート・エージェント管理モードについて
OSSOUpdateAgentRequest.xml
OAM11GUpdateAgentRequest.xml
OAMUpdateAgentRequest.xml
リモート・アプリケーション・ドメイン管理モードについて
ポリシー作成のリクエスト・ファイルについて
ポリシー更新のリクエスト・ファイルについて
<rregApplicationDomain>要素について
エージェントのリモート管理
リモート・エージェント更新の実行
リモート・エージェント検証の実行
リモート・エージェント削除の実行
エージェントを使用しないアプリケーション・ドメインの作成または更新
第IV部 Oracle Access ManagerのSSO、ポリシーおよびテストの管理
11
OAMポリシー・モデルおよびシングル・サインオンの概要
前提条件
OAM 11gポリシー・モデルとOAM 10gモデルの比較
OAM 11gポリシー・モデルの概要
リソース・タイプについて
ホスト識別子について
認証、スキームおよびモジュールについて
認証スキームおよびモジュールについて
認証イベントのロギングおよび監査
アプリケーション・ドメインおよびポリシーについて
リソースおよびリソース定義について
認証ポリシー、レスポンスおよびリソースについて
認証ポリシー、リソース、制約およびレスポンスについて
OAMシングル・サインオンの構成の概要
SSOコンポーネントの概要
シングル・サインオンのコンポーネントについて
ユーザー・ログイン時のシングル・サインオンCookieについて
シングル・サインオンCookieについて
11g OAM WebgateのOAMAuthnCookie
10g OAM WebgateのObSSOCookie
OAM_REQのCookie
mod_osso Cookie
OAM 11gシングル・サインオンの実装タイプの概要
アプリケーションのSSO
OAM 11gを使用したシングル・サインオン
ネットワーク間ドメインおよびOracle Access Manager 11g
OAM 11g SSO処理の概要
SSOログイン処理について
ログイン
セルフサービス・プロビジョニング・アプリケーションを使用したログイン
Oracle ADFセキュリティを使用したアプリケーションのログインおよび自動ログイン
OAMエージェントを使用したSSOログイン処理について
OSSOエージェント(mod_osso)を使用したSSOログイン処理について
混在リリース・エージェントを使用したシングル・サインオン処理について
12
ポリシー・コンポーネントの管理
前提条件
ポリシー・コンポーネント管理の概要
リソース・タイプの管理
リソース・タイプおよびその使用について
リソース・タイプ・ページについて
特定のリソース・タイプの検索
ホスト識別子の管理
ホスト識別子について
ホスト識別子の使用方法
ホスト識別子のガイドライン
ホスト識別子のバリエーション
仮想Webホスティングについて
リバース・プロキシの背後へのWebgateの配置
Apache以外のWebサーバーの仮想ホストの構成
仮想ホスト、ディレクトリまたはファイルとのApache用Webgateの関連付け
ホスト識別子ページについて
ホスト識別子の作成
ホスト識別子定義の検索
ホスト識別子定義の表示または編集
ホスト識別子定義の削除
認証スキームの管理
認証スキーム・ページについて
事前構成済認証スキーム
チャレンジ・メソッドについて
認証スキームのチャレンジ・パラメータについて
認証モジュールについて
マルチレベル認証について
認証スキームの作成
認証スキームの検索
認証スキームの表示または編集
認証スキームの削除
暗号化Cookieのチャレンジ・パラメータの構成
暗号化CookieのssoCookieチャレンジ・パラメータについて
暗号化Cookieのセキュリティのためのチャレンジ・パラメータの構成
暗号化Cookieの永続性のためのチャレンジ・パラメータの設定
13
リソースを保護してSSOを有効化するポリシーの管理
前提条件
アプリケーション・ドメインの作成の概要
自動的なアプリケーション・ドメインの作成について
手動のアプリケーション・ドメインの作成について
アプリケーション・ドメインおよびポリシーの詳細分析
アプリケーション・ドメインの一般詳細
生成されたアプリケーション・ドメインのデフォルトのリソース
生成されたアプリケーション・ドメインのデフォルトの認証ポリシー
生成されたアプリケーション・ドメインのデフォルトの認可ポリシー
トークン発行ポリシーについて
コンソールを使用したアプリケーション・ドメインの管理
アプリケーション・ドメイン・ページについて
新しいアプリケーション・ドメインの手動作成
アプリケーション・ドメインの検索
アプリケーション・ドメインの表示または編集
アプリケーション・ドメインおよびその内容の削除
ポリシーで使用するリソース定義の追加および管理
アプリケーション・ドメインのリソース定義ページについて
リソース定義のリソース・タイプについて
リソース定義のホスト識別子について
リソースURLについて
ランタイム・リソース評価について
アプリケーション・ドメインへのリソース定義の追加
リソース定義の検索
特定のリソース定義の検索について
特定のリソース定義の検索
アプリケーション・ドメインのリソース定義の表示または編集
アプリケーション・ドメインからのリソース定義の削除
特定のリソースの認証ポリシーの定義
認証ポリシー・ページについて
認証ポリシーのリソースについて
認証ポリシーおよびリソースの追加
認証ポリシーの検索
認証ポリシーの表示または編集
認証ポリシーの削除
特定のリソースの認可ポリシーの定義
特定のリソースの認可ポリシーについて
認可ポリシーおよび特定のリソースの追加
認可ポリシーの検索
認可ポリシーおよびリソースの表示または編集
認可ポリシーの削除
SSOのポリシー・レスポンスの概要
SSOの認証および認可ポリシー・レスポンスについて
ポリシー・レスポンスの言語について
ポリシー・レスポンスのネームスペースおよび変数名について
SSOのポリシー・レスポンスの構築について
単純なレスポンス
複合的および複雑なレスポンス
ポリシー・レスポンス処理について
SSOのポリシー・レスポンスの追加および管理
SSOのポリシー・レスポンスの追加
SSOのポリシー・レスポンスの表示、編集または削除
認可制約の概要
許可または拒否タイプ制約について
制約のユーザーおよびグループの分類について
制約に基づく認可レスポンスのガイドライン
制約および一般的な認可ポリシーの詳細について
「制約の追加」ウィンドウについて
アイデンティティ・クラス制約について
IP4Rangeクラス制約について
一時的クラス制約について
認可ポリシー制約の定義
アイデンティティ・クラス制約の定義
IP4Rangeクラス制約の定義
一時的クラス制約の定義
認可ポリシー制約の表示、編集または削除
アプリケーション・ドメインの認証および認可の検証
例: 事前シード済のIAM Suiteアプリケーション・ドメインおよびポリシー
14
アクセス・テスターを使用した接続性とポリシーの検証
前提条件
OAM 11gアクセス・テスターの概要
OAMエージェントとサーバーの相互運用性について
アクセス・テスターのセキュリティと処理について
アクセス・テスター・モードと管理者の対話操作について
アクセス・テスターのインストールと起動
アクセス・テスターのインストール
アクセス・テスターでサポートされているシステム・プロパティについて
テスター・コンソール・モードで使用するためのシステム・プロパティなしでテスターを開始する
コマンドライン・モードで使用するためのシステム・プロパティを指定してアクセス・テスターを開始する
アクセス・テスターのコマンドライン・モードについて
システム・プロパティを指定してアクセス・テスターを開始
アクセス・テスター・コンソールとナビゲーションの概要
アクセス・テスターのメニューとコマンド・ボタン
アクセス・テスター・コンソールによる接続性とポリシーのテスト
アクセス・テスターとOAMサーバー間の接続の確立
「接続」パネルについて
アクセス・テスターとOAMサーバーの接続
アクセス・テスター・コンソールからリソース保護を検証
保護リソースのURIパネルについて
リソース保護の検証
アクセス・テスター・コンソールからユーザー認証をテスト
「ユーザー・アイデンティティ」パネルについて
ユーザー資格証明による認証のテスト
アクセス・テスター・コンソールからユーザー認可をテスト
リクエスト待機時間の監視
テスト・ケースおよびスクリプトの作成と管理
テスト・ケースとテスト・スクリプトについて
テスト・ケースの取得
入力テスト・スクリプトの作成
入力テスト・スクリプトの作成について
入力テスト・スクリプトの作成
入力テスト・スクリプトのパーソナライズ
テスト・スクリプトのカスタマイズについて
テスト・スクリプトのカスタマイズ
テスト・スクリプトの実行
テスト・スクリプトの実行について
テスト・スクリプトの実行
スクリプト、ログ・ファイル、および統計の評価
テスト結果の評価について
保存された接続構成ファイルについて
作成された入力テスト・スクリプトについて
テスト実行結果が格納されたターゲット出力ファイルについて
統計ドキュメントについて
実行ログについて
15
OAM 11gの集中ログアウトの構成
前提条件
OAM 11gの集中ログアウトの概要
OAM 11gエージェントおよびサーバー使用時の集中ログアウトについて
OAM 10gエージェントとOAM 11gサーバー使用時の集中ログアウトについて
IAMSuiteAgent使用時の集中ログアウトについて
OSSOエージェント(mod_OSSO)とOAM 11g使用時の集中ログアウトについて
Oracle ADFセキュリティを使用するアプリケーションでの集中ログアウトについて
OAM 11gサーバー使用時の11g Webgateの集中ログアウト構成
11g Webgateの集中ログアウト構成について
11g Webgateの集中ログアウト構成
IAMSuiteAgentの集中ログアウト構成
OAM 11gサーバー使用時の10g Webgateの集中ログアウト構成
OAM 11gサーバー使用時の10g Webgateの集中ログアウト処理について
OAM 11gサーバー使用時のOAM 10gエージェントの集中ログアウト・スクリプトについて
OAM 11g使用時の10g Webgateの集中ログアウト構成
Oracle ADFコード・アプリケーションの集中ログアウト構成
Oracle ADF標準に従ってコーディングされたアプリケーションの集中ログアウト処理について
OAM 11g使用時のADFコード・アプリケーションの集中ログアウト構成
ログアウト時のカスタムmod_osso Cookieの削除
グローバル・サインオンと集中ログアウトの検証
グローバル・サインオンの確認
様々なエージェント・タイプを使用したグローバル・サインオンの検証
集中ログアウトの監視
第V部 Oracle Security Token Service
16
Oracle Security Token Serviceの実装シナリオ
前提条件
一般的なトークン・エコシステム
シナリオ: OAMトークンを使用したアイデンティティ伝播
コンポーネント処理: OAMトークンを使用したアイデンティティ伝播
RST属性とランタイム処理
構成要件: OAMトークンを使用したアイデンティティ伝播
実装のテスト
シナリオ: On Behalf Ofユーザー名トークンを使用したWebサービス・セキュリティ
ユーザー名トークンを使用したアイデンティティ伝播のコンポーネント相互作用
ユーザー名トークンを使用したアイデンティティ伝播のRST属性および処理
構成要件: ユーザー名トークンを使用したアイデンティティ伝播
17
Oracle Security Token Serviceの設定値と設定の管理
前提条件
Oracle Security Token Service構成の概要
インストール後の構成
サーバーとOracle Security Token Serviceについて
Oracle Security Token Serviceクライアントについて
エージェントとOracle Security Token Serviceについて
Oracle Security Token Serviceエンドポイントとポリシーについて
Oracle Security Token Serviceの有効化および無効化
Oracle Security Token ServiceとOracle Access Managerコンソールについて
Oracle Security Token Service管理者について
Oracle Security Token Serviceへのログインおよびサインアウトについて
Oracle Security Token Serviceのサービスの有効化について
Oracle Security Token Serviceのサービスの有効化および無効化
Oracle Access Managerコンソールを使用したセキュリティ・トークン・サービスの設定の定義
「セキュリティ・トークン・サービスの設定」について
「セキュリティ・トークン・サービスの設定」の管理
Oracle WSMエージェントのためのWSSポリシーの使用および管理
Webサービス・セキュリティ・ポリシーの使用および変更
Oracle Security Token ServiceのためのWSSポリシーの管理: クラスパス
Oracle Security Token ServiceのためのWSSポリシーの管理: Oracle WSM Policy Manager
WSSプロトコル通信のためのOWSMの構成
Oracle Security Token ServiceのOracle WSMエージェントのWS-Securityポリシーについて
Oracle WSMキーストア・パスワードの取得
Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出
Oracle WSMキーストアへの信頼できる証明書の追加
Oracle WSMキーストア内の信頼できる証明書の検証
WSS KerberosポリシーのためのOracle WSMエージェントの構成
Oracle Security Token Serviceポリシーの管理および移行
Oracle Security Token Serviceポリシーの管理および移行について
Oracle Security Token Serviceポリシーの管理
Oracle Security Token Serviceポリシーの移行
Oracle Security Token Serviceメッセージのロギングの概要
Oracle Security Token Serviceの監査の概要
Oracle Security Token Service監査レコードの格納について
監査レポートおよびOracle Business Intelligence Publisherについて
監査ログについて
Oracle Security Token Service管理イベントとランタイム・イベントの監査
すべてのイベントに共通の監査レコード・コンテンツについて
監査可能なOracle Security Token Service管理イベント
監査可能なOracle Security Token Serviceランタイム・イベント
18
Oracle Security Token Serviceの証明書と鍵の管理
前提条件
Oracle Security Token Serviceの証明書と鍵の概要
キーストアとOracle Security Token Serviceについて
Oracle Web Services Managerのキーストア(default-keystore.jks)について
リクエスタ証明書のOPSSキーストアの使用について
Oracle Security Token Serviceの暗号化/署名鍵の管理
システム・キーストア(.oamkeystore)・パスワードの取得
システム・キーストア(.oamkeystore)への新しいキー・エントリの追加
新しいエントリの追加
署名鍵を使用するためのSAML発行テンプレートの構成
デフォルトの暗号化鍵の設定
Oracle Security Token Service証明書の抽出
証明書取得サービスの使用
WS-Trust通信のパートナ・キーの管理
パートナ証明書について
実行時のリライイング・パーティの証明書のダウンロードについて
パートナの署名証明書または暗号化証明書の設定
証明書検証の管理
信頼アンカー・ストア(amtruststore)のパスワードの取得
信頼アンカー・ストア(amtruststore)の管理
証明書失効リストの管理
Oracle Security Token Serviceのカスタム信頼アンカー・ストアの使用
19
テンプレート、エンドポイントおよびポリシーの管理
前提条件
概要
既存のテンプレートの検索
テンプレートの検索コントロールについて
テンプレートの検索
トークン発行テンプレートの管理
トークン発行テンプレートの管理について
トークン発行テンプレートの管理
トークン検証テンプレートの管理
トークン検証テンプレートの管理について
トークン検証テンプレートの管理
Oracle Security Token Serviceエンドポイントの管理
エンドポイントの管理について
エンドポイントの管理
Oracle Access Managerを使用したトークン発行ポリシーおよび制約の管理
トークン発行ポリシーについて
トークン発行ポリシーおよび制約の管理について
トークン発行ポリシーおよび制約の管理
TokenServiceRPタイプのリソースの管理
Oracle Access Manager内のTokenServiceRPタイプのリソースの管理について
アプリケーション・ドメイン内のTokenServiceRPタイプのリソースの管理
20
Token Serviceパートナとパートナ・プロファイルの管理
前提条件
Token Serviceパートナとパートナ・プロファイルの概要
Token Serviceパートナについて
パートナ・プロファイルについて
パートナおよびプロファイル・データについて
Token Serviceパートナの管理
Token Serviceパートナの管理について
Token Serviceパートナの管理
パートナ検索の絞込み
Token Serviceパートナ・プロファイルの管理
パートナ・プロファイルの管理について
Token Serviceパートナ・プロファイルの管理
プロファイル検索の絞込み
21
Oracle Security Token Servicesのトラブルシューティング
認可の問題
エンドポイントの問題
マッピング操作の問題
第VI部 共通のロギング、監査、パフォーマンス・モニタリング
22
コンポーネント・イベント・メッセージのロギング
前提条件
コンポーネント・イベント・メッセージのロギングの概要
コンポーネント・ロガーについて
サンプル・ロガーとログ・ハンドラ定義
ロギング・レベルについて
Oracle Access Managerのロギング構成
Oracle Access Managerのロガー・レベルの変更
Oracle Access Manager固有のロガーとログ・ハンドラの追加
Oracle Security Token Serviceのロギング構成
Oracle Security Token Serviceのロギング構成
Oracle Security Token Serviceのログ・レベルとログ詳細の定義
ランタイム・イベント・ロギング構成の検証
23
Webgateイベント・メッセージのロギング
ロギング、ログ・レベルおよびログ出力について
ログ・レベルについて
ログ出力について
ログ構成ファイルのパスおよび内容について
ログ構成ファイルのパスおよび名前
ログ構成ファイルの内容
ファイルに対する変更が有効化した場合
ログ・ファイル内のコメントについて
ファイルまたはシステム・ファイルへのログ出力の送信について
ログ構成ファイルの構造およびパラメータ
ログ構成ファイルのヘッダー
最初の複合リスト
単純なリストおよびロギングしきい値
2番目の複合リストおよびログ・ハンドラ
モジュール固有のロギングのリスト
フィルタ・リスト
XML要素の順序について
ロギング・レベルのアクティブ化および抑制について
ログ・ハンドラの優先順位について
必須のログ・ハンドラ構成パラメータ
デフォルトのログ構成ファイルの設定
デフォルトのログ構成ファイルの設定の説明
異なるデータのタイプへの異なるしきい値レベルの構成
MODULE_CONFIGセクションについて
ログ構成ファイルのモジュール固有ロギング・セクションの場所
ログを記録できるモジュールのリスト
機能またはモジュールに対するログ・レベルしきい値の構成
機密属性のフィルタ処理
24
管理イベントおよびランタイム・イベントの監査
前提条件
監査の概要
Oracle Access Managerの監査構成について
Oracle Access Manager監査記録ストレージについて
監査レポートおよびOracle Business Intelligence Publisherについて
監査ログについて
監査可能なOracle Access Managerイベント
監査可能なOracle Access Manager管理イベント
監査可能なOAMランタイム・イベント
認証イベントの監査について
Oracle Access Manager with Oracle Security Token Serviceの監査の設定
監査データベース・ストアの設定
Oracle Business Intelligence Publisher EEの準備
Oracle Access Managerコンソールでの監査構成セクションについて
Oracle Access Managerの共通監査設定の追加、表示、または編集
Oracle Access Managerの監査とレポートの検証
25
Oracle Access Managerコンソールを使用したパフォーマンスの監視
パフォーマンス・モニタリングの概要
コンソールを使用したサーバー・パフォーマンス・メトリックの監視
サーバー・インスタンス・パフォーマンスの監視
サーバー・メトリックの確認
SSOエージェント・パフォーマンス・メトリックの監視
SSOエージェント・パフォーマンス・メトリックの監視
OAMエージェント・メトリックの確認
OSSOエージェント・メトリックの確認
OXMプロキシ・パフォーマンス・チューニング・パラメータ
OAMプロキシ・メトリックについて
OAMプロキシ・サーバーのチューニング・パラメータ
26
Fusion Middleware Controlによるパフォーマンスおよびログの監視
前提条件
Fusion Middleware Controlの概要
Fusion Middleware Controlへのログインとログアウト
Fusion Middleware Controlのログイン・ページについて
Fusion Middleware Controlへのログイン
Fusion Middleware Controlからのログアウト
Fusion Middleware Controlでのメニューとページの表示
Fusion Middleware Controlの「ファーム」ページについて
Fusion Middleware Controlのコンテキスト・メニューとページについて
Fusion Middleware Controlでのコンテキスト・メニューとターゲット詳細の表示
Fusion Middleware Controlでのパフォーマンスの表示
Fusion Middleware Controlの「パフォーマンス概要」ページについて
Access Managerコンポーネント・ページ
セキュリティ・トークン・サービス・コンポーネント・ページ
「メトリック・パレット」と「パフォーマンス・サマリー」ページについて
Fusion Middleware Controlのパフォーマンス・メトリックの表示
コンポーネント固有のパフォーマンス詳細の表示
Fusion Middleware Controlでのログ・レベル変更の管理
動的なログ・レベルの変更について
Fusion Middleware Controlを使用した動的なログ・レベルの設定
Fusion Middleware Controlによるログ・ファイル構成の管理
ログ・ファイルの構成について
Fusion Middleware Controlを使用したログ・ファイル構成の管理
Fusion Middleware Controlでのログ・メッセージの表示
ログ・メッセージの検索、表示およびエクスポートについて
Fusion Middleware Controlによるログ・メッセージの表示
Fusion Middleware ControlでのMBeanの表示
システムMBeanブラウザについて
MBeanの管理
Fusion Middleware Controlでのファーム・ルーティング・トポロジの表示
ルーティング・トポロジについて
Fusion Middleware Controlを使用したルーティング・トポロジの表示
第VII部 Oracle Access Manager 11gでの10g Webgateの使用
27
OAM 11gでのOAM 10g Webgateの管理
前提条件
OAM 11g用のOAM 10gエージェントの紹介
IAMSuiteAgentのOAM 10g Webgateへの置換について
レガシーOAM 10gデプロイメントとWebgateについて
OAM 11gで使用する新規OAM 10g Webgateのインストールについて
OAM 11gでの10g Webgateのプロビジョニング
OAM 11g用の最新のOAM 10g Webgateの検索とインストール
OAM 11gで使用する新規10g Webgateのインストールの準備
OAM 11gで使用する10g Webgateの検索とダウンロード
Webgate 10gのインストールの開始
トランスポート・セキュリティ・モードの指定
セキュアな通信のための証明書のリクエストまたはインストール
Webgateの構成詳細の指定
Webgate Webサーバー構成の更新
Webサーバーの手動構成
Webgateのインストール終了
アーティファクトと証明書のインストール
Webgateのインストールの確認
OAM 11gでの10g Webgateの集中ログアウトの構成
IAMSuiteAgentのOAM 10g Webgateへの置換
IAMSuiteAgentを10g Webgateに入れ替えるためのプロビジョニング
IAMSuiteAgentを置換する10g Webgateのインストール
WebLogicサーバー・プラグインの更新
OAM/OIM統合用のAutoLoginホスト識別子の確認
WebLogic用OAMセキュリティ・プロバイダの構成
セキュリティ・プロバイダについて
10g Webgate用のセキュリティ・プロバイダの設定
IAMSuiteAgentの無効化
検証
WebLogicコンテナへのアプリケーションのデプロイメント
OAM 11gデプロイメントからの10g Webgateの削除
28
Apache、OHS、IHSの10g Webgate用の構成
前提条件
Oracle HTTP ServerとOracle Access Managerについて
ApacheおよびIHS v2 Webgateを使用したOracle Access Managerについて
Apache HTTP Serverについて
IBM HTTP Serverについて
ApacheおよびIBM HTTPリバース・プロキシ・サーバーについて
Apache v2アーキテクチャとOracle Access Managerについて
Oracle HTTP Server、IHS、Apache v2 Webサーバーの要件
IHS2 Webサーバーの要件
ApacheおよびIHS v2リバース・プロキシ・サーバーの要件
Apache v2 Webサーバーの要件
Webサーバーの準備
IHS v2 Webサーバーの準備
IHS v2インストール用ホストの準備
IBM HTTP Server v2のインストール
SSL機能の設定
セキュアな仮想ホストの起動
Linux上でのApacheおよびOracle HTTP Server Webサーバー
LinuxおよびWindowsプラットフォームでのOracle HTTP Server Webサーバーの準備
Oracle HTTP Serverのクライアント証明書の設定
UNIX上でのApache v2 Webサーバーの準備
AIX上でのApache v2 SSL Webサーバーの準備
Windows上でのApache v2 Webサーバーの準備
Apache v2およびIHS v2のリバース・プロキシの起動
Apache v2 Webサーバーのリバース・プロキシの起動
IHS v2 Webサーバーのリバース・プロキシの起動
Oracle Access Manager Webgate用のhttpd.conf更新の検証
Webgateの詳細検証
言語エンコーディングの検証
Oracle Access Manager Webgate用のOracle HTTP Serverのチューニング
OAM用のOHS/Apache PreforkおよびMPMモジュールのチューニング
Oracle HTTP Server/Apache Preforkモジュールのチューニング
Oracle HTTP Server/Apache MPMモジュールのチューニング
カーネル・パラメータのチューニング
Oracle HTTP Server Webサーバーの起動と停止
Oracle Access Manager Webgate用のApache/IHS v2のチューニング
アンインストール後のWebサーバー構成変更の削除
役立つ情報
29
10g Webgate用のIIS Webサーバーの構成
前提条件
IIS WebサーバーでのWebgateのガイドライン
ISAPI Webgateのガイドライン
IIS v7対応Webgate
IIS v6対応Webgate
1つのIIS 6インスタンスに対する複数のWebgate
IIS 7対応Webgateのインストールの前提条件
IIS 7対応10g Webgateのインストールの前提条件
IIS 7対応32ビットWebgateのインストールの前提条件
Windows 2008でのIIS 7 Webサーバー構成の更新
IISでのWebgateインストールの完了
IIS Webサーバーでのクライアント証明書認証の有効化
ISAPIフィルタの並替え
POSTデータのパススルー機能の有効化
ISAPI Webgate 10.1.4.2.3について
POSTデータのパススルー機能について
パススルーの実装: ワーカー・プロセス分離モードのIIS 6.0
IIS 5.0分離モードのIIS 6.0 Webサーバーでのパススルーの実装
デフォルト・サイトが設定されていない場合のWebサイトの保護
1つのIIS 7インスタンスに対する複数の10g Webgateのインストールと構成
複数のWebgateシナリオにおける各IIS 7 Webgateのインストール
複数のIIS 7 Webgateに対する偽装DLLの設定
複数のIIS 7 Webgateに対するクライアント認証の有効化
パススルー機能のためのIIS 7 Webgateの構成
IIS 7 Webgateのインストールの確認
1つのIIS 6インスタンスに対する複数のWebgateのインストールと構成
複数のWebgateシナリオにおける各Webgateのインストール
複数のWebgateに対する偽装DLLの設定
複数のWebgateに対するSSLとクライアント認証の有効化
複数のWebgateのインストールの確認
64ビットWebgateインストールの終了
アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証の設定
クライアント証明書認証の設定
IISへのWebgateのインストールの確認
IIS Webサーバーの起動、停止および再起動
アンインストール前のWebサーバー構成変更の削除
30
10g Webgate用のISAサーバーの構成
前提条件
Oracle Access ManagerおよびISAサーバーについて
互換性とプラットフォームのサポート
ISAサーバー用のWebgateのインストールおよび構成
ISAサーバーでのWebgateのインストール
/accessディレクトリの権限の変更
ISAPI Webgate用のISAサーバーの構成
Oracle Access ManagerプラグインのISAサーバーWebフィルタとしての登録
ISA WebフィルタのISAファイアウォール・ポリシーの構成
ISAPIフィルタの並替え
ISAサーバーの起動、停止および再起動
ISAサーバーのWebgateをアンインストールする前のOracle Access Managerフィルタの削除
31
10g Webgate用のLotus Domino Webサーバーの構成
前提条件
Domino Webサーバーのインストール
最初のDomino Webサーバーの設定
Domino Webサーバーの起動
SSLの有効化(オプション)
Dominoセキュリティ(DSAPI)フィルタのインストール
Webgateインストールの完了
第VIII部 付録
A
共存の概要: OAM 11gとOSSO 10g
前提条件
アップグレードとOracleAS 10g SSOとの共存の概要
アップグレード前および後のトポロジおよび認証の例
アップグレード前のOSSO 10gトポロジについて
フロントエンド・プロキシ・サーバー上のmod_oc4jを含む1つのOSSO 10g
アップグレード後のトポロジと共存について
アップグレード後: mod_wlによるプロキシ・サーバー上のmod_oc4jの置き換え
アップグレード後: プロキシ・サーバーなし
アップグレード後のOAM 11gとの共存の検証の概要
アップグレード後のSSOについて
アップグレード後のOSSO 10g認証について
アップグレード後の共存の検証
アップグレード後の登録とポリシーの検証
OSSO 10gを使用して保護されているパートナ・アプリケーションの例
ポリシー施行エージェントの詳細
共有コンポーネント: migratedSSOPartnersのホスト識別子
migratedSSOPartnersアプリケーション・ドメインのリソース
migratedSSOPartnersアプリケーション・ドメインの認証ポリシー
Oracle Access Managerにより保護されているリソースを含むアップグレード後のSSOの検証
OSSOにより保護されているリソースを含むアップグレード後のSSOの検証
B
OAM 11gのソース環境からターゲット環境への移行
前提条件
移行の概要
デプロイメント・タイプについて
Oracle Access Managerデータについて
共通の移行タスクについて
新しいターゲット環境と既存のターゲット環境の比較について
移行の方法とツールの概要
Oracle Access Managerソース・データを伝播する方法について
OSSOパートナのあるOAMインスタンスから別のインスタンスへの移行について
ターゲット・ユーザー・アイデンティティ・ストアの構成とデータの移行について
ポリシー競合解決について
各アプリケーション・ドメインの依存関係の構築について
移行の計画
移行方法の選択
ソースとターゲット環境間に相違がない
デプロイメント・インベントリの作成
バックアップ方針およびリカバリ方針の作成
テストの作成
変更伝播について
スケジュールと通知
Oracle Access Manager 11gデータの移行
Oracle Access Manager 11gソース・データのエクスポート
Oracle Access Managerデータのターゲットへのインポート
C
Oracle ADFアプリケーションとOracle Access Manager 11g SSOの統合
Oracle Platform Security ServicesおよびOracle Application Developer Frameworkの概要
Oracle Platform Security Servicesシングル・サインオン・フレームワーク
Oracle Application Developer Framework
Oracle ADF SecurityおよびOPSS SSOフレームワークを使用したOAM 11gとWebアプリケーションの統合
OAM 11g用のSSO構成の例
SSOプロバイダ構成詳細
実行時のアプリケーションドリブン認証の確認
D
OAM 10g Webgateの国際化とマルチバイト・データ・サポート
国際化とマルチバイト・データ・サポートの概要
Oracle Access Managerでローカライズされたメッセージの言語
双方向言語サポート
UTF-8エンコーディング
E
Oracle Access Manager 11gとの安全な通信
前提条件
OAM 11gサーバーとWebgate間の安全な通信の概要
証明書、認証局および暗号化鍵について
セキュリティ・モードおよびX509Scheme認証について
Importcertツールについて
証明書モードのOAMテスターのクライアント・キーストア生成
OAM 11gの証明書モード通信の構成
証明書モードの暗号化およびファイルについて
OAMサーバー用の証明書リクエストおよび秘密鍵の生成
OAMキーストア別名およびパスワードの取得
信頼できる、署名された証明書チェーンをキーストアへインポート
証明書詳細をAccess Manager設定に追加
Webgate用の秘密鍵および証明書リクエストの生成
証明書を使用するようにWebgateを更新
OAM 11gの簡易モード通信の構成
簡易モード、暗号化および鍵について
簡易モード用のグローバル・パスフレーズの取得
簡易モード用Webgate登録の更新
簡易モード構成の検証
F
管理者用のカスタムWLSTコマンドの概要
前提条件
WebLogic Scripting Toolコマンドの概要
WLSTコマンド・サマリー: Oracle Access Manager
WLSTコマンド・サマリー: Oracle Security Token Service
WLSTコマンドの実行
WLSTシェルの開始とログイン
高可用性環境でのリクエスト・キャッシュ・タイプの変更
G
IPv6クライアント用のOAM 11gの構成
前提条件
Oracle Access Manager 11gおよびIPv6の概要
OAM 11gでのIPv6とチャレンジ・リダイレクトの構成
考慮事項
IPv6の構成: OAM 11gおよびWebgate用の別個のプロキシ
H
デプロイメント固有ページの作成
シングル・サインオン・サーバーでのデプロイメント固有ページの使用方法
パスワード変更ページの動作
パスワードが失効している場合
パスワードが間もなく失効する場合
猶予ログインが有効
パスワード変更の強制
デプロイメント固有ページの記述方法
ログイン・ページのパラメータ
パスワードを忘れた場合
パスワード変更ページのパラメータ
シングル・サインオフ・ページのパラメータ
外部アプリケーション・ログイン・ページのパラメータ
ページのエラー・コード
ログイン・ページのエラー・コード
ログイン後のメッセージ
パスワード変更ページのエラー・コード
外部アプリケーション・ログイン変更ページのエラー・コード
グローバリゼーション・サポートの追加
ページに表示する言語の決定
Accept-Languageヘッダーを使用したページの決定
ページ・ロジックを使用した言語の決定
ページのレンダリング
デプロイメント固有ページに関するガイドライン
デプロイメント固有ページのインストール
policy.propertiesを使用したログイン・ページ、シングル・サインオフ・ページおよびパスワード変更ページのインストール
policy.propertiesを使用したワイヤレスのログイン・ページとパスワード変更ページのインストール
policy.propertiesを使用した外部アプリケーション・ログイン・ページのインストール
デプロイメント固有ページの例
カスタム・クラスの使用
外部アプリケーションの追加
I
トラブルシューティング
OAM 11gのトラブルシューティングの概要
システム分析と問題例について
LDAPサーバーまたはアイデンティティ・ストアの問題について
OAMサーバーまたはホストの問題について
エージェント側の構成およびロードの問題について
実行時データベース(監査またはセッション・データ)の問題について
変更の伝播またはアクティブ化の問題について
ポリシー・ストア・データベースの問題について
Oracle Access Manager Consoleの状態が矛盾している
WebLogic Serverのインストール時に不正なJavaパスが指定されると管理サーバーが起動しない
エージェント名が一意ではない
アプリケーションURLの要件
認証の問題
匿名認証の問題
X.509保護リソースおよびシングル・サインオフ
認可の問題
認証LDAPまたはデータベースにアクセスできない
構成が見つからない
...の構成が存在しない
部分トリガーが見つからない
サービス攻撃の拒否
OAMサーバーを負荷でクラッシュしないようにする
ネットワーク遅延に対する補償
OAMサーバーを大量のHTTPリクエストから守る
新しくインストールしたOAM 10g Webgateでのデプロイメント
OAM 10g Webgateでの認証の問題
OAM 10g Webgateでのログアウトの問題
OAM 11gの初期化およびパフォーマンスの問題の診断
初期化の問題の診断
パフォーマンスの問題の診断
メモリー不足の問題のヒープ・ダンプを使用した診断
IIS WebサーバーでのWindowsのチャレンジ/レスポンス認証の無効化
UserIdentityStore1タイプを変更すると管理者がロックアウトされる可能性がある
IIS Webサーバーの問題
フォーム認証またはパススルーが動作しない
IISおよび一般Webコンポーネントのガイドライン
IIS v6 Webサーバーの問題
ページが表示されないエラー
IIS DLLの削除および再インストール
jpsロガー・クラスのインスタンス化警告が認証時にログに記録される
言語と翻訳
自動生成された説明が翻訳されない
ロケール、言語、およびOracle Access Managerコンソール・ログイン・ページ
コンソールがきれいに表示されない
保護されたページへのログインの失敗
OAMメトリック永続性タイマーIllegalStateException: SafeCluster
部分的なクラスタ障害および断続的なログインおよびログアウト障害
登録の問題
Rowkeyに主キー属性がないエラー
SELinuxの問題
セッションの問題
セッション偽装がデフォルトでは有効になっていない
Oracle Identity Federationと統合されたOracle Access Managerとのセッション
SSLとオープンな通信の比較
起動の問題
OAMサーバー・クロックの同期化
Coherenceの使用
エラーの検証
Webサーバーの問題
Apache Webサーバー上のサーバー障害
HP-UX上のApache v2
Red Hat Enterprise Linux 4にバンドルされたApache v2
Security-Enhanced LinuxにバンドルされたApache v2
Webgateのmpm_worker_moduleを使用したUNIX上のApache v2
Domino Webサーバーの問題
エラー、アクセスの消失および予期しない動作
ISA Webサーバーの既知の問題
LinuxThreadsでOracle HTTP Serverが開始しない
Linux Red Hat 4上でOracle HTTP Server Webgateが初期化されない
Oracle HTTP Server Web Server構成ファイルの問題
IIS v6 Webサーバーの問題
Sun Webサーバーの開始時のPCLOSEエラー
IIS DLLの削除および再インストール
Windowsネイティブ認証
索引