ヘッダーをスキップ
Oracle Access Managerアクセス管理ガイド
10
g
(10.1.4.3)
B55477-01
索引
次へ
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Access Managerの新機能
製品名およびコンポーネント名の変更
10
g
(10.1.4.3)で使用可能な拡張機能
WebGateの更新
URL接頭辞およびURLパターン
ObSSOCookieの設定後の認証アクションのトリガー
フォーム・ベース認証
認証スキームの無効化
認証スキームの永続Cookie
HTTPヘッダー変数およびCookie
ログアウトの構成
特定の仮想ホスト、ディレクトリおよびファイルとのWebGateの関連付け
validate_passwordプラグインの構成
Windowsで有効な偽装のオーバーライド
Lotus DominoおよびWindows偽装のシングル・サインオンの構成
トラブルシューティング
第I部 アクセス・システムの構成
1
アクセス・システムの構成および管理の概要
1.1
アクセス・システムの概要
1.2
アクセス・システムのコンポーネント
1.3
アクセス・システムのインストールおよび設定の概要
1.4
リソースおよびリソースへのアクセスの可否を判定するルールの構成の概要
1.5
アクセス・システムのコンポーネントの構成および管理の概要
2
アクセス管理者およびサーバー設定の構成
2.1
前提条件
2.2
アクセス管理者の構成
2.2.1
マスター・アクセス管理者の構成
2.2.2
委任アクセス管理者の構成
2.2.3
委任アクセス管理者のグループの作成
2.2.4
委任管理者のグループの変更
2.3
サーバー設定の管理
2.3.1
サーバー設定の表示
2.3.2
電子メール・アドレスのカスタマイズ
2.3.3
シングル・サインオン・ログアウトURLの構成
2.3.4
ディレクトリ・サーバーの構成
3
WebGateおよびアクセス・サーバーの構成
3.1
アクセス・システムの構成の概要
3.2
アクセス・ゲートおよびアクセス・サーバーを構成するための前提条件
3.3
アクセス・サーバーの構成
3.3.1
アクセス・サーバーの構成詳細の表示
3.3.1.1
アクセス・サーバー構成パラメータ
3.3.2
アクセス・サーバー・インスタンスの追加
3.3.2.1
アクセス・サーバー用のディレクトリ・サーバー・プロファイルの構成
3.3.3
アクセス・サーバー詳細の変更
3.3.4
アクセス・サーバーの削除
3.3.5
アクセス・サーバーのクラスタリング
3.3.5.1
アクセス・サーバー・クラスタの管理
3.3.6
コマンドラインからのアクセス・サーバーの管理
3.3.6.1
configureAAAServerツールの使用
3.3.6.2
コマンドラインからのキュー数の設定
3.4
アクセス・ゲートとWebGateの構成
3.4.1
アクセス・ゲート・プロファイルの表示
3.4.2
アクセス・ゲート構成パラメータ
3.4.3
アクセス・ゲートの追加
3.4.3.1
アイデンティティ・システム・リソースに対するログアウトの構成
3.4.3.2
ユーザー定義のアクセス・ゲート・パラメータの構成
3.4.3.3
コンポーネント間のネットワーク通信量の削減
3.4.3.4
WebGateのポーリング頻度の変更
3.4.4
アクセス・ゲートの変更
3.4.5
アクセス・ゲートの削除
3.5
WebGateの管理
3.5.1
アクセス・サーバーとのクロックの同期化
3.5.2
WebGateの変更
3.5.3
WebGate用IPアドレス検証の構成
3.5.4
WebGate診断の表示
3.5.5
WebGateのステータスのチェック
3.5.5.1
接続数のチェック
3.5.6
リバース・プロキシの背後へのWebGateの配置
3.6
アクセス・ゲートおよびWebGateのアクセス・サーバーとの関連付け
3.6.1
アクセス・ゲートとクラスタとの関連付けの概要
3.6.2
アクセス・ゲートの関連付け
3.6.3
アクセス・サーバーと関連付けられているアクセス・ゲートの表示
3.6.4
アクセス・ゲートの関連付けの解除
3.7
優先HTTPホスト、ホスト識別子および仮想Webホストの構成
3.7.1
優先HTTPホストの概要
3.7.1.1
仮想Webホストを使用しない場合の優先HTTPホストの概要
3.7.1.2
仮想ホストの優先HTTPホスト設定の概要
3.7.2
ホスト識別子の構成
3.7.2.1
認証ホストの挿入
3.7.2.2
ホスト識別子の表示または削除
3.7.2.3
ホスト識別子の追加
3.7.3
仮想Webホスティングの構成
3.8
デフォルトでのすべてのリソースへのアクセス拒否
3.8.1
「保護されていない場合に拒否」の使用例
3.9
特定の仮想ホスト、ディレクトリまたはファイルとのWebGateの関連付け
3.10
アクセス時のログイン手順
3.10.1
認証プロセスと認可プロセスの組合せ
3.10.2
ログイン手順
3.10.3
ログイン時に生成されるCookie
3.10.3.1
ObSSOCookie
3.10.3.2
ObBasicAuthCookie
3.10.3.3
ObFormLoginCookie
3.10.3.4
ObTEMC Cookie
3.10.3.5
ObTEMP Cookie
3.10.3.6
ObPERM Cookie
第II部 リソースの保護
4
ポリシー・ドメインによるリソースの保護
4.1
前提条件
4.1.1
ポリシー・ベースの概要
4.1.2
ポリシー・ドメイン・ルートの概要
4.2
ポリシー・ドメイン管理の概要
4.2.1
最初のポリシー・ドメイン作成の概要
4.2.2
ポリシー・ドメインの管理の概要
4.2.3
ポリシー・ドメインの作成の概要
4.3
ポリシー・ドメインおよびポリシーの概要
4.3.1
ポリシー・ドメインの構成要素
4.3.2
リソースのポリシー・ドメインまたはポリシーの設定方法
4.3.3
事前構成されたポリシー・ドメイン
4.3.4
ポリシー・ドメインの作成者
4.3.5
ポリシー・ドメインおよびポリシーの例
4.3.6
ポリシー・ドメインにおける職責割当ての概要
4.4
リソース・タイプの構成
4.4.1
リソース・タイプの概要
4.4.2
デフォルト・リソース・タイプ
4.4.3
サポートされているHTTP操作
4.4.4
サポートされているEJB操作
4.4.5
サポートされているリソース・タイプ
4.4.6
リソース・タイプの定義
4.5
リソースのURLの構成
4.5.1
URL接頭辞の概要
4.5.2
URLパターンの概要
4.5.3
URLパターンの使用方法
4.5.4
URLパターンの一致の記号
4.5.5
無効なパターン
4.5.6
アクセス・システムのパターン
4.6
スキームの概要
4.7
プラグインの概要
4.8
ルールと式の概要
4.8.1
ルールによる制御の強化と緩和
4.8.1.1
すべてのリソースが保護されていない状態からの開始
4.8.1.2
すべてのリソースが保護されている状態からの開始
4.9
ポリシー・ドメインの作成と管理
4.9.1
ポリシー・ドメインの作成
4.9.2
ポリシー・ドメインの変更
4.9.3
ポリシー・ドメインの削除
4.9.4
ポリシー・ドメインの有効化または無効化
4.9.5
ポリシー・ドメインとポリシーの検索
4.9.6
ポリシー・ドメインの一般情報の表示
4.9.7
ポリシー・ドメインへのリソースの追加
4.9.7.1
ホスト識別子とホスト・コンテキストの使用方法
4.9.8
リソースの説明の変更
4.9.9
リソースの削除
4.10
マスター監査ルールの概要
4.10.1
マスター監査ルールの構成
4.10.2
マスター監査ルールの変更
4.10.3
マスター監査ルールの削除
4.11
ポリシーの構成
4.11.1
重複するパターンがあるポリシー
4.11.2
ポリシーの追加
4.11.3
ポリシーの変更
4.11.4
ポリシーがチェックされる順序の設定
4.11.5
ポリシーの削除
4.11.6
ポリシーの本番用としてのデプロイ
4.12
ポリシー・ドメインに対するユーザー・アクティビティの監査
4.12.1
ポリシー・ドメインの監査ルールの作成
4.12.2
ポリシー・ドメインの監査ルールの変更
4.12.3
ポリシーの監査ルールの定義
4.12.4
ポリシーの監査ルールの変更
4.12.5
監査ログ・ファイルの概要
4.13
アクセス・テスターの使用方法
4.14
ポリシー・ドメイン管理の委任
4.14.1
ポリシー・ドメイン管理者の構成
5
ユーザー認証の構成
5.1
認証と認証スキームの概要
5.1.1
予備知識
5.1.2
認証の基本コンポーネント
5.1.3
認証スキームの概要
5.1.4
デフォルト認証スキーム
5.2
チャレンジ・メソッドの概要
5.2.1
チャレンジ・メソッドのプラグインの概要
5.3
認証スキームの定義および管理
5.3.1
認証スキームのリストおよび表示
5.3.2
新規認証スキームの定義
5.3.3
認証スキームの変更
5.3.4
複数検索ベース使用時の認証スキームの構成
5.3.5
認証スキームの有効化および無効化
5.3.6
認証スキーム内のObSSOCookieの保護
5.3.7
複数セッションにわたるObSSOCookieの保持
5.3.8
認証スキームの資格証明としてのブラウザCookieの構成
5.3.9
認証スキームの削除
5.4
認証のプラグイン
5.4.1
アクセス・システムに付属のプラグインの概要
5.4.2
カスタム・プラグインの概要
5.4.2.1
管理コードとプラグインに関する注意事項
5.4.3
プラグインのリターン・コード
5.4.4
複数の認証スキームにわたってのプラグインの再利用の概要
5.4.5
認証スキームのセキュリティ・レベルの変更
5.4.6
認証チャレンジ・メソッド用のアクセス・システム・プラグイン
5.4.7
資格証明マッピング・プラグイン
5.4.8
非アクティブ・ユーザーのフィルタ処理
5.4.9
パスワード検証プラグイン
5.4.10
証明書デコード・プラグイン
5.4.11
検証済パスワードのキャッシュによるパフォーマンスの向上
5.4.12
WindowsおよびSecurID用のプラグイン
5.5
プラグインの追加および管理
5.5.1
認証スキームのプラグインの表示
5.5.2
認証スキームへのプラグインの追加
5.5.3
認証スキームからのプラグインの削除
5.6
連鎖認証の概要
5.6.1
連鎖認証を使用した認証ルールの作成の概要
5.6.2
認証ステップの概要
5.6.3
単一ステップの認証スキームの概要
5.6.4
複数ステップへのプラグインの分割
5.7
ステップの構成および管理
5.7.1
認証スキームのステップの表示
5.7.2
ステップの構成詳細の表示
5.7.3
認証スキームへのステップの追加
5.7.4
ステップの変更
5.7.5
ステップの削除
5.8
認証フローの構成
5.8.1
認証フローの例
5.8.2
認証スキームのフローの表示
5.8.3
認証連鎖のフローの構成および変更
5.8.4
認証フロー内のサイクルの検査および修正
5.9
認証ルールの管理
5.9.1
ポリシー・ドメインの認証ルールの作成
5.9.2
ポリシー・ドメインの認証ルールの変更
5.9.3
ポリシー・ドメインの認証ルールの削除
5.9.4
ポリシーの認証ルールの作成
5.9.5
ポリシーの認証ルールの変更
5.9.6
ポリシーの認証ルールの削除
5.10
認証アクションの管理
5.10.1
アクションの種類の概要
5.10.2
HTTPヘッダー変数およびCookieの使用方法の概要
5.10.3
アクションを使用した情報の引渡し
5.10.4
アクションおよびヘッダー変数
5.10.4.1
ヘッダー変数のキャッシュによる可用性への影響
5.10.4.2
各種Webサーバーによるヘッダー変数の処理方法
5.10.5
アクションによるリダイレクション
5.10.5.1
プラグインの代用としてのフォーム・ベース認証の使用方法
5.10.6
カスタム・アクション
5.10.7
認証アクションの設定
5.10.8
ポリシーの認証ルールのアクションの定義
5.10.9
ObSSOCookieの設定後の認証アクションのトリガー
5.10.9.1
OTA認証スキームの概要
5.10.9.2
OTA認証スキームおよび認可アクションの構成
5.11
認証イベントの監査
5.11.1
成功時または失敗時にロギングされる情報
5.11.2
マスター監査ルールおよび導出ルールの作成の概要
6
ユーザー認可の構成
6.1
認可の概要
6.1.1
予備知識
6.1.2
認可ルールおよび認可条件式の概要
6.1.2.1
ユーザーの分類ガイドライン
6.2
認可ルールの概要
6.2.1
アクセスの許可条件およびアクセスの拒否条件の概要
6.2.2
認可ルールの再利用
6.2.3
認可ルールの内容の概要
6.2.4
認可ルールの評価の概要
6.3
認可ルールの操作
6.3.1
構成済認可ルールのリストの表示
6.3.2
認可ルールの構成
6.3.3
アクセスの許可の設定
6.3.4
アクセスの拒否の設定
6.3.5
タイミング条件の設定
6.3.6
ルールの一般情報の表示
6.3.7
認可ルールの変更
6.3.8
認可ルールの削除
6.4
認可条件式の概要
6.4.1
認可条件式の内容の概要
6.4.2
認可条件式の評価の概要
6.4.2.1
未確定結果のステータス・コード
6.4.2.2
式のルールの評価の概要
6.4.2.3
認可ルールの使用例
6.4.2.4
AND演算子の概要
6.4.2.5
論理積条件の例
6.4.2.6
OR演算子の概要
6.4.2.7
論理和条件の例
6.4.2.8
論理積条件と論理和条件の混合式の使用例
6.4.2.9
カッコの使用方法の概要
6.4.3
長い認可条件式の概要
6.5
認可条件式の操作
6.5.1
認可条件式の表示
6.5.1.1
ポリシーの認可条件式の表示
6.5.2
認可条件式の作成
6.5.2.1
ポリシーの認可条件式の作成
6.5.3
作成中の認可条件式の変更
6.5.3.1
「認可条件式」リスト・ボックスの使用方法
6.5.3.2
「テキスト形式の認可条件式」ボックスの使用方法
6.5.3.3
既存の認可条件式の変更
6.5.4
認可条件式の削除
6.6
認可アクションの概要
6.6.1
ルールと式に対するアクションの概要
6.6.2
アクションの種類の概要
6.6.3
HTTPヘッダー変数およびCookieの使用方法の概要
6.6.3.1
ヘッダー変数のキャッシュによる可用性への影響
6.6.3.2
Webサーバーによるヘッダー変数の処理方法
6.6.4
アクションを使用した情報の引渡しの概要
6.6.5
戻されるアクションの種類
6.6.6
補足アクションの概要
6.6.7
認可アクションの評価順序の概要
6.7
認可アクションの操作
6.7.1
認可ルールのアクションの設定
6.7.1.1
非結合ドメインの使用時の認可アクションの構成
6.7.2
認可条件式のアクションの設定
6.7.2.1
未確定結果に対するアクションの概要
6.7.3
重複アクションの概要
6.7.3.1
重複アクションの処理方法
6.7.3.2
重複アクションとWebGateの制限
6.7.4
重複アクションに対するシステム・デフォルト動作の設定
6.7.5
式への重複アクションに対する動作の設定
6.7.6
カスタム認可アクションの作成
6.8
カスタム・プラグインの認可スキームの概要
6.8.1
認可スキームおよびカスタム・プラグインの概要
6.8.1.1
認可プラグインの概要
6.9
認可スキームの操作
6.9.1
認可プラグインのパスおよびパラメータの指定
6.9.1.1
ユーザー・パラメータ
6.9.1.2
必須パラメータ
6.9.1.3
認可プラグインのオプションのパラメータ
6.9.2
認可スキームの表示
6.9.3
認可スキームの追加
6.9.4
認可スキームの変更
6.9.5
認可スキームの削除
6.10
認可リクエストの外部データの取得
6.10.1
例: 外部ソースからの認可データを使用するWebGateの構成
6.11
認可イベントの監査
6.11.1
成功時または失敗時にロギングされる情報
6.11.2
マスター監査ルールおよび導出ルールの作成の概要
7
シングル・サインオンの構成
7.1
前提条件
7.2
シングル・サインオンの概要
7.2.1
様々なタイプのシングル・サインオン
7.3
シングル・サインオンのCookie
7.3.1
ObSSOCookieのセキュリティ
7.3.2
ObSSOCookieの構成
7.4
シングル・ドメインのシングル・サインオン
7.4.1
シングル・ドメインのシングル・サインオンの動作
7.4.2
シングル・ドメインのシングル・サインオンの設定
7.4.2.1
WebGateの構成
7.4.3
リバース・プロキシのシングル・サインオン
7.4.4
シングル・ドメインのシングル・サインオン・セッションからのログアウト
7.5
マルチドメインのシングル・サインオン
7.5.1
リダイレクションによるマルチドメインのシングル・サインオンの有効化
7.5.2
マルチドメインのシングル・サインオンのテスト
7.5.3
マルチドメインのシングル・サインオン・セッションからのログアウト
7.6
アプリケーションのシングル・サインオン
7.6.1
アプリケーションのシングル・サインオンの追加情報
7.6.2
アプリケーションのシングル・サインオン・セッションからのログアウト
7.7
アイデンティティ・システムとアクセス・システム間のシングル・サインオン
7.7.1
シングル・サインオン用のポリシー・ドメインの構成
7.7.2
トップ・ナビゲーション・バーへの従業員タイプの表示
7.7.3
アイデンティティ・システムとアクセス・システム間のSSOのトラブルシューティング
7.8
アクセス・システムでの偽装の有効化
7.9
シングル・サインオンのトラブルシューティング
第III部 アクセス・システムの管理
8
アクセス・システムの管理
8.1
前提条件
8.2
アクセス・システムの構成および管理の概要
8.2.1
アクセス・システム構成
8.2.2
システム管理
8.3
ユーザー・アクセスの構成
8.3.1
ユーザーの失効
8.3.2
キャッシュからのユーザー・データのフラッシュ
8.4
共有シークレット鍵の作成
8.4.1
共有シークレット鍵への変更
8.5
パスワード・ポリシー・キャッシュのフラッシュ
8.6
診断の実行
8.7
ユーザー・アクセス権限レポートの管理
8.7.1
レポートの追加
8.7.2
レポートの管理
8.8
同期レコードの管理
8.8.1
同期レコードの概要
8.8.2
同期レコードのアーカイブ
8.8.3
同期レコードのパージ
8.9
複数のディレクトリ・サーバーを含む環境での破損した同期レコードの検出とリストア
8.9.1
複数のディレクトリ・サーバーでのキャッシュ・フラッシュと同期レコードの概要
8.9.2
検出とリカバリの概要
8.9.3
同期レコードの破損の検出
8.9.4
検出またはリカバリ後のログのチェック
8.9.5
アクセス・サーバーのキャッシュ・フラッシュとGSN更新の無効化
8.9.6
AMAPIを使用したポリシー・マネージャとアプリケーションからの更新のブロック
8.9.7
同期レコードの破損からのリカバリ
8.9.8
リカバリ処理中に発生したエラーの修正
8.9.9
キャッシュ・フラッシュ操作のリストア
9
アクセス・システム構成ファイルの管理
9.1
前提条件
9.2
アクセス・システムのキャッシュの自動フラッシュ
9.3
アクセス・システム・コンポーネント間の同期
9.3.1
システム・クロックの同期化
9.3.2
デフォルト構成のキャッシュ・タイムアウトの変更
9.4
ポリシー・ドメイン表示のオーバーヘッドの削減
9.5
ポリシー・マネージャのユーザー・インタフェースのカスタマイズ
9.5.1
デフォルト・ページとしての検索ページの設定
9.5.2
ポリシー・マネージャの検索インタフェースのカスタマイズ
第IV部 付録
A
フォーム・ベース認証
A.1
フォーム・ベース認証の概要
A.1.1
チャレンジ・パラメータ
A.1.2
リダイレクション
A.1.3
フォーム・ベース認証で使用されるプラグイン
A.1.4
セッションCookieおよび認証アクション
A.1.5
ヘッダー変数
A.1.6
認証リクエストのデータに対する外部コールの使用
A.2
フォーム作成時の考慮点
A.2.1
ObFormLoginCookie
A.3
フォーム・ベース認証の構成
A.3.1
フォーム・ベース認証スキームの構成
A.3.1.1
フォーム・アクションの概要
A.3.1.2
WebGate以外のサーバーに設定するフォーム
A.3.2
Microsoft IISに関する注意
A.3.3
obMappingFilterへのユーザーの挿入
A.3.3.1
アクティブなユーザーのみの挿入
A.3.3.2
非アクティブなユーザーの挿入
A.4
フォームの例
A.4.1
フォーム・スキーマの例
A.4.1.1
基本例
A.4.1.2
注釈の例
A.4.2
サンプルのポップアップ・フォーム
A.4.3
サンプルのマルチ言語フォーム
A.5
フォーム・ベース認証のトラブルシューティング
B
ログアウトの構成
B.1
Oracle Access Managerのログアウトの概要
B.2
ログアウトの機能
B.3
ログアウトURLとログアウト・ページの構成およびカスタマイズ
B.4
Oracle Access Managerと別の製品との統合のためのシングル・サインオフ構成
C
Oracle Access Managerのパラメータ・ファイル
C.1
ファイル・カテゴリ
C.2
パラメータ・ファイルの詳細
D
IPv6クライアントでのOracle Access Managerの使用方法
D.1
Oracle Access ManagerおよびIPv6の概要
D.1.1
サポートされているトポロジ
D.1.2
IPv6による単純な認証
D.1.3
認証WebGateとチャレンジ・リダイレクトを使用したIPv6の構成
D.1.4
考慮点
D.2
前提条件
D.3
単純な認証を使用したIPv6の構成
D.4
認証WebGateとチャレンジ・リダイレクトを使用したIPv6の構成
D.5
IPv6の構成: 認証用とリソースWebGate用の個別のプロキシ
E
Oracle Access Managerのトラブルシューティング
E.1
原因および解決策
E.1.1
アクセス・サーバーの問題
E.1.1.1
Windows 2003でアクセス・サーバーがハングする
E.1.1.2
アクセス・サーバーがデータベースに監査データを送信しない
E.1.2
認証と認可の問題
E.1.2.1
認証スキームの形式は適切であるが、ユーザーが認証されない
E.1.2.2
Oracle Access Managerが認証中に失敗する(Netscape/Sun Directory Serverのユーザー・データ)
E.1.2.3
「長い認可条件式での問題」
E.1.3
「Active Directoryを使用したキャッシュ・フラッシュの問題」
E.1.4
ディレクトリ・サーバーの問題
E.1.4.1
ディレクトリ・サーバーが稼働中または応答しているかどうかを確認するエラー・メッセージ
E.1.4.2
ディレクトリ・サーバー・プロファイル構成後のメモリー使用量の増加
E.1.4.3
Active Directoryまたは.Net使用時の検索の停止
E.1.5
ファイル所有者とコマンドライン・ツール
E.1.6
フォーム・ベース認証の問題
E.1.6.1
ログイン・フォームが繰り返し表示される
E.1.6.2
Apache/Oracle HTTP Server WebGateでの302応答
E.1.6.3
フォーム・ベース認証に関するその他の問題
E.1.7
ポリシー・マネージャからアクセス・サーバーへのキャッシュ・フラッシュ中にポリシー・マネージャがハングする
E.1.8
シングル・サインオンの問題
E.1.8.1
アイデンティティ・システムとアクセス・システム間のシングル・サインオンでのエラー
E.1.8.2
シングル・サインオンに関するその他の問題
E.1.9
WebGateの問題
E.1.9.1
WebGateプロファイルにある優先HTTPホストの識別子が不正または見つからない
E.1.9.2
WebGateの診断URLでアクセス・サーバーが停止していると間違って報告される
E.1.9.3
WebGateが関連付けられたアクセス・サーバーに接続できない
E.1.9.4
Webサーバーの401応答でコンテンツとコンテンツ長が一致していない
E.2
診断情報の取得
E.3
追加情報
索引