| Oracle Access Managerアクセス管理ガイド 10g(10.1.4.3) B55477-01 |
|
 戻る |
 次へ |
この章では、アクセス・システム管理者の割当てなどのサーバー設定を管理する方法について説明します。内容は次のとおりです。
アクセス・システムの管理の詳細は、次を参照してください。
Oracle Access Manager 10.1.4を、『Oracle Access Managerインストレーション・ガイド』の手順に従ってインストールおよび設定しておく必要があります。『Oracle Access Manager概要』には、その他のマニュアルにはないOracle Access Managerの概要が記載されています。また、『Oracle Access Manager IDおよび共通管理ガイド』をよく理解しておいてください。このマニュアルには、アクセス・システムのアプリケーションとそのインストールの簡単な概要、ならびにアクセス・システムおよびアイデンティティ・システムに共通の機能(ロギング、監査およびパスワード・ポリシーの設定など)が説明されています。
アクセス・システムでは、ポリシー・ベースの認証および認可ルールを適用して、オンライン・リソースの保護を有効にできます。また、Webのシングル・サインオンも可能になります。
マスター管理者の他に、2種類の管理者がアクセス・システムを構成および管理できます。
表2-1に、これら各タイプの管理者の権限をまとめます。マスター・アクセス管理者は自動的に次の権限を持つのに対して、委任アクセス管理者には次の権限を明示的に付与する必要があります。
表2-1 管理権限の表
| 権限 | 説明 | このタスクの実行者 |
|---|---|---|
|
シングル・サインオンのCookieを暗号化する暗号化鍵を作成します。「共有シークレット鍵の作成」を参照してください。 |
マスター・アクセス管理者 |
|
|
マスター監査ルールの構成 |
アクセス・システムで監査情報を監査ログ・ファイルにロギングするには、マスター監査ルールが必要です。「マスター監査ルールの概要」を参照してください。ロギングの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
マスター・アクセス管理者 |
|
「パスワード・ポリシー・キャッシュのフラッシュ」を参照してください。 |
マスター・アクセス管理者 |
|
|
1つ以上のアクセス・ゲート・インスタンスを表示、作成および構成します。「アクセス・ゲートとWebGateの構成」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
|
アクセス・サーバーの管理 |
アクセス・ゲートおよびディレクトリ・サーバーと通信できるようにアクセス・サーバーを構成します。「アクセス・サーバーの構成」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
「アクセス・サーバー・クラスタの管理」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
|
認証スキームの管理 |
認証とは、ユーザーが本人の主張するとおりの人物であるかどうかを検証するプロセスのことです。第5章「ユーザー認証の構成」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
認可スキームの管理 |
認可とは、ユーザーがリクエストしたリソースへのアクセス権限を持っているかどうかを判定するプロセスのことです。第6章「ユーザー認可の構成」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
ユーザーがホストの識別に使用する名前を指定します。「優先HTTPホスト、ホスト識別子および仮想Webホストの構成」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
|
リソース・タイプ定義の管理 |
保護するリソースの種類(リソースに関連付ける操作を含む)を定義します。「デフォルト・リソース・タイプ」を参照してください。 |
マスターまたは委任アクセス管理者 |
|
ユーザー構成の管理 |
リソースへのアクセスを禁止するユーザーのリストを作成および変更し、キャッシュからこれらのユーザーをフラッシュします。「アクセス・システムの構成および管理の概要」を参照してください。 |
マスターまたは委任アクセス管理者 |
後続の各項では、これらの管理者を構成し、管理タスクを委任する方法について説明します。これらの作業を行うには、アクセス・システム・コンソールの「システム構成」機能を使用します。
マスター管理者のみがマスター・アクセス管理者を作成できます。マスター・アクセス管理者は、アクセス・システムにおいて、マスター・アクセス管理者の作成を除くすべての機能を実行でき、また管理機能を委任できます。
|
注意: シングル・サインオンCookieを暗号化する共有シークレット鍵を作成するには、マスター・アクセス管理者である必要があります。Oracle Access Managerのインストール後はできるだけ早く暗号鍵を生成する必要があります。生成しない場合、セキュリティの低いデフォルトの鍵が使用されます。「共有シークレット鍵の作成」を参照してください。 |
アクセス・システム・コンソールで、「システム構成」を選択し、左側のナビゲーション・ペインにある「管理者」リンクをクリックします。
「管理者の構成」ページに現在のマスター・アクセス管理者がリストされます。
「マスター・アクセス管理者」リンクをクリックします。
「マスター・アクセス管理者の変更」ページが表示されます。
「ユーザーの選択」をクリックします。
検索フィールドがあるページが表示されます。
これらの検索フィールドを使用して、目的のユーザーを選択します。
検索フィールドは、検索対象の属性、「次を含む」などの検索基準および検索文字列または部分文字列から構成されています。一度に表示する検索結果の数を選択して、「実行」をクリックします。
「完了」をクリックすると、「マスター・アクセス管理者の変更」ページに戻ります。
セレクタを使用して選択した新しいユーザーの名前が、「マスター・アクセス管理者の変更」ページに表示されます。
名前をリストから削除するには、チェック・ボックスを使用して選択を解除します。
選択内容を見直して、リストが完成したかどうかを確認します。
変更内容を保存する場合は、「保存」をクリックします。または、変更内容を保存しないで終了する場合は、「取消」をクリックします。
アクセス・システムを管理する職責を少数のユーザーが担う場合は、これらのユーザーに他のユーザーを任命させて作業を分担させることができます。通常、現在リソースを管理しているユーザーは、職責の委任先として最適のユーザーを知っているものです。アクセス・システム管理をその他のユーザーに委任する機能により、リソースに最も近くリソースを最もよく知っているユーザーにリソースを管理する職責を付与でき、リソースの管理が拡張されます。
マスター・アクセス管理者は、ユーザーのグループを作成し、このグループに管理権限を割り当てることができます。複数のグループに同じ管理権限を割り当ててもかまいません。たとえば、Group1とGroup2の両方に、アクセス・サーバーの管理権限を割り当てることができます。
委任できる機能は、次のとおりです。
アクセス・サーバー構成の追加、変更、削除
アクセス・サーバー・クラスタの追加、変更、削除
認証スキームの追加、変更、削除
失効したユーザーのリストの変更
失効したユーザーのリストを管理するには、委任管理者は、失効したユーザーのエントリが含まれる検索ベースへのアクセス権限、および該当する属性読取り権限を持つ必要があります。
複数のグループにユーザーを追加できます。たとえば、認証スキームと認可スキームを管理する委任管理者のグループを1つ作成し、アクセス・サーバーとアクセス・サーバー・クラスタを管理するグループを別に作成した場合、同じユーザーを両方のグループに追加できます。
管理者がなんらかのタスクを実行すると、Oracle Access Managerにより情報ログが生成されます。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
また、ポリシー・ドメイン管理も委任できます。詳細は、「ポリシー・ドメイン管理の委任」を参照してください。
次の手順で、委任管理者をアクセス・システムに追加する方法を具体的に説明します。
アクセス・システム・コンソールで、「システム構成」をクリックし、左側のナビゲーション・ペインにある「管理者」リンクをクリックします。
「管理者の構成」ページが表示されます。
タイトル「委任管理者のグループ」の下にある「追加」ボタンをクリックします。
「委任管理者の新規グループの作成」ページが表示されます。リクエストされたすべての情報を入力することも、管理権限や管理者のない空のグループを作成することもできます。
リクエストされた情報を入力します。
たとえば、次のようにします。
名前: このグループの名前。
説明: 説明(オプション)。
管理権限: このグループに付与する権限を選択します。
「メンバー」ラベルの横にある「ユーザーの選択」ボタンをクリックし、セレクタを表示します。
セレクタを使用してこのグループにユーザーを追加します。追加し終わったら、「完了」をクリックします。これにより、「委任管理者の新規グループの作成」ページに戻ります。
「保存」をクリックして、この手順を完了します。
アクセス・システム・コンソールの「システム構成」機能を使用すると、アクセス・サーバーおよびディレクトリ・サーバーの設定の表示および変更、SSOのログアウトURLの構成、およびユーザー・フィードバックに使用する電子メール・アドレスの構成が可能です。内容は次のとおりです。
|
注意: マスター管理者のみがこれらの設定を変更できます。 |
電子メール・アドレス、ディレクトリ・サーバーおよびSSOログアウトURLなど、サーバーのアイテムの設定を表示するには、アクセス・システム・コンソールを使用します。
アクセス・システム・コンソールを起動します。
「システム構成」をクリックし、「サーバー設定」を選択します。
「サーバー設定の表示」ページが表示されます。
ユーザー・フィードバックに使用する電子メール・アドレスを指定するには、「電子メールのカスタマイズ」機能を使用します。
エンドユーザーが電子メール・アドレスにアクセスするには、ページの最上部にある「バージョン情報」リンクをクリックして、「管理フィードバックを送信」または「Oracleにフィードバックを送信」をクリックします。
アクセス・システム・コンソールで、「システム構成」をクリックし、次に「サーバー設定」を選択します。
「サーバー設定の表示」ページが表示されます。
「電子メールのカスタマイズ」をクリックして、「電子メールのカスタマイズ」ページを表示します。
次の各フィールドに電子メール・アドレスを入力します。
| アドレス | 説明 |
|---|---|
| バグ・レポートの電子メール・アドレス | このアドレスを入力して、バグ・レポートが組織内のユーザーまたは別名に送信されるようにする必要があります。問題を解決したりOracleに連絡して支援を求めることができるのは、このユーザーまたは部門です。 |
| ユーザー・フィードバックの電子メール・アドレス | ユーザーが「Oracleフィードバック」フォームを送信すると、そのデータが指定されたアドレスに送信されます。デフォルトはfeedback@Oracle.comです。 |
| Webマスターの電子メール・アドレス | ユーザーが「管理フィードバック」フォームを送信すると、そのデータが指定されたアドレスに送信されます。デフォルトはwebmaster@company.comです。 |
変更内容を保存する場合は、「保存」をクリックします。または、保存しないで終了する場合は、「取消」をクリックします。
Webサーバーを再起動します。
シングル・サインオン(SSO)とは、1回のログインで複数のリソースにアクセスできる機能です。アクセス・システムは、自身が保護するリソースにアクセスする各ユーザーまたはアプリケーションに対してObSSOCookieを設定して、ユーザーにかわってシングル・サインオンを実行します。ObSSOCookieにより、ユーザーは、同等以下の認証レベルを持つアクセス・システムで保護されているその他のリソースにアクセスできます。詳細は、第7章「シングル・サインオンの構成」を参照してください。
ObSSOCookieを削除するには、シングル・サインオン・ログアウトURLおよび関連のログアウト・ページを構成します。これにより、ユーザーは、次回アクセス・システムで保護されているリソースにアクセスする際に再認証を受けることになります。
Oracleでは、ログアウト時にユーザーに表示され、セッションCookieを削除する機能を実行するlogout.htmlのページを用意しています。このフォームは次の場所にあります。
PolicyManager_install_dir/access/oblix/lang/en-us/logout.html
このログアウト・ページの構成やカスタム・ログアウト・ページの作成の詳細は、「ログアウトの構成」を参照してください。この項では、ログアウトURLについてのみ説明します。
複数の言語がインストールされている場合は、ユーザーのブラウザの言語で書かれたlogout.htmlを指すようにOracle Access Managerシングル・サインオン・ログアウトURLを構成できます。ログアウトURLを構成するには、シングル・サインオン・ログアウトURLに%lang%パラメータを指定します。%lang%は、Access Managerの実行時にブラウザの言語に置き換えられます。
|
注意: 一部のバージョンのInternet ExplorerでBasic Over LDAP認証スキームを使用している場合、シングル・サインオン・ログアウトURLで予期しない結果が起こることがあります。Basic Over LDAP認証スキームが使用されていると、Internet Explorerはユーザーの資格証明をキャッシュします。これは、一部のバージョンのInternet Explorerにおいては、ユーザーがログアウトした後もリソースにアクセスできることを意味します。シングル・サインオン・ログアウトURLでこの問題が発生した場合は、LDAP認証スキームでフォームを使用することをお薦めします。 |
アクセス・システム・コンソールで、「システム構成」をクリックします。
左側のナビゲーション・ペインにある「サーバー設定」をクリックします。
「SSOログアウトURLの構成」リンクをクリックします。
次のページが表示されます。
必要なオプションを選択します。
ユーザーのログアウトにサード・パーティのプログラムを使用する場合は、「SSOログアウトURLなし」を選択します。
ユーザーが「ログアウト」をクリックすると自動的にこのページがアイデンティティ・システムおよびアクセス・システムによりコールされるようにするには、「URL」を選択します。
|
注意: アクセス・システムで保護されているその他のリソースからは、このlogout.htmlページへのリンクを手動で作成する必要があります。このリンクは、ログアウト機能を追加するページに作成します。 |
「保存」をクリックします。
SSOログアウトURLの値を変更した後で、アクセス・サーバーのキャッシュをフラッシュします。
詳細は、「アクセス・システムのキャッシュの自動フラッシュ」を参照してください。
SSOログアウトURLの値を変更した後で、アイデンティティ・サーバーのキャッシュをフラッシュします。
アイデンティティ・サーバーのキャッシュの管理の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』および『Oracle Access Managerデプロイメント・ガイド』を参照してください。
アクセス・システム・コンソールを使用してディレクトリ・サーバーの様々な設定を変更するには、「ディレクトリ・サーバー構成」ページを使用します。これは、『Oracle Access Manager IDおよび共通管理ガイド』に記載された、アイデンティティ・システム・コンソールを使用したディレクトリ・サーバーの詳細の変更に類似しています。アクセス・システム・コンソールで変更できるディレクトリ・サーバーの詳細には、構成データやポリシー・データがあります。
アクセス・システム・コンソールで、「システム構成」をクリックし、次に「サーバー設定」をクリックします。
「サーバー設定の表示」ページが表示されます。
「ディレクトリ・サーバー」リンクをクリックします。
「ディレクトリ・サーバー構成」ページが表示されます。このページは、構成データ用とポリシー・データ用の2つの領域に分かれています。このページ内の構成ベースとポリシー・ベースは、変更できません。
「構成ベース」は、Oracle Access Managerに固有の情報すべてのロケーションを識別します。この情報は変更できません。「ポリシー・ベース」は、アクセス・システムのすべてのポリシー・データが格納されるDIT内のロケーションを識別します。この情報は変更できません。
|
注意: アスタリスク(*)の付いたフィールドの情報を変更すると、製品の設定を繰り返す必要が生じます。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
構成データに、次の表に示す構成情報を指定します。
| フィールド | 説明 |
|---|---|
| マシン(*) | ユーザー・データ、構成データまたはポリシー・データを管理するディレクトリ・サーバーがインストールされているコンピュータの名前またはIPアドレス |
| ポート番号(*) | ユーザー・データ、構成データまたはポリシー・データを管理するディレクトリ・サーバーがリスニングするポート番号 |
| ルートDN(*) | ディレクトリ・サーバーのルートDN |
| ルート・パスワード | ディレクトリ・サーバーのルート・パスワード |
| ディレクトリ・サーバー・セキュリティ・モード(*) | ディレクトリ・サーバーが自分の通信を保護するために使用するセキュリティ・モード |
ポリシー・データに、上の表に示した構成情報を指定します。
変更内容を保存する場合は、「保存」をクリックします。または、保存しないで終了する場合は、「取消」をクリックします。
