アイデンティティ・システムのインストール後、アクセス・システムのインストールを開始できます。アクセス・システムには、ポリシー・マネージャ、アクセス・サーバー、およびWebGateの3つのコンポーネントが含まれています。この章の項目で説明するように、ポリシー・マネージャは最初にインストールする必要のあるコンポーネントです。
ポリシー・マネージャは、アクセス・システムのログイン・インタフェースを提供し、ディレクトリ・サーバーと通信してポリシー・データを書き込み、Oracle Accessプロトコルによりアクセス・サーバーと通信して、一定のポリシーを変更した場合にアクセス・サーバーを更新します。マスター・アクセス管理者および委任アクセス管理者は、ポリシー・マネージャを使用して保護するリソースを定義し、リソースをポリシー・ドメインにグループ化します。概要は、『Oracle Access Manager概要』で説明されています。
ポリシー・マネージャのインストールには、アクセス・システム・コンソールが含まれます。ポリシー・マネージャのインストールにより、アイデンティティ・サーバーおよびWebPassのインストール両方の要素が結合されます。たとえば、ポリシー・マネージャのインストール時にOracle Access Managerポリシー・データの格納場所を識別する必要があります。デフォルトのポリシー・マネージャのディレクトリ・プロファイルが作成され、設定後に使用可能になります。また、WebPassに対して実行したように、ポリシー・マネージャのWebサーバー構成を更新する必要があります。ポリシー・マネージャのサービスを開始および停止するのではなく、ポリシー・マネージャのWebサーバーを開始および停止します。
すべてのWebPassおよびポリシー・マネージャのインスタンスをWebGateで保護することをお薦めします。WebPassとポリシー・マネージャでは、特定のアプリケーション(User Manager、Group Manager、ポリシー・マネージャ)を保護するために組込みの簡易認証を使用します。ただし、この方法では、WebPassとポリシー・マネージャのURLへの直接アクセスを保護できない可能性もあります。
注意: ポリシー・マネージャ(およびWebGate)は、WebPassと同じWebサーバー・インスタンスに対してインストールできます。ポリシー・マネージャの設定中に、デフォルトのポリシー・ドメインの作成を受け入れることができます。これにより、WebGateですべてのアイデンティティおよびポリシー・マネージャのURLを認証されていないアクセスから保護できます。詳細は、「認証スキームとデフォルト・ポリシー・ドメインの構成」を参照してください。 |
また、プラットフォーム固有のディレクトリ内のポリシー・マネージャに対して、個別のWebサーバー固有のインストール・パッケージが提供されています。選択するインストール方法および使用中のオペレーティング・システムに関係なく、インストール・プロセスは類似しています。情報は、インストール中の特定の時点で保存されます。ポリシー・マネージャがインストールされていることが通知された後でインストールを取り消す場合は、「以前のリリースのアップグレード」で説明されているように、コンポーネントをアンインストールする必要があります。
インストール後、その他のアクセス・システムのコンポーネントをインストールする前に、ポリシー・マネージャの設定プロセスを完了する必要があります。アイデンティティ・システムの設定と同様に、設定中に1つのページから次へ進む際に情報が保存されます。いつでも前のページに戻ることができ、設定プロセスは、いつでも中止および再開できます。設定プロセスを再開する場合、最後に保存した入力の次の質問から続行します。
インストールの考慮点は、「ポリシー・マネージャのガイドライン」を参照してください。
フォルト・トレランスに備えて、複数のポリシー・マネージャをインストールすることをお薦めします。複数のポリシー・マネージャをインストールするには、各新規のポリシー・マネージャ・インスタンスに対してこの章で説明するインストールおよび設定を実行します。
IIS Webサーバーにインストールされたポリシー・マネージャは、レジストリに依存して\PolicyManager_install_dirを取得します。1台のコンピュータ上に2つのポリシー・マネージャ(1つはIIS Webサーバーとともに、もう1つはSun Webサーバーとともに)をインストールする場合のレジストリ内の競合を回避するため、次の手順で説明しているようにポリシー・マネージャをインストールする必要があります。
IISおよびSunのWebサーバーのインスタンスの競合の回避の手順
Sun Webサーバーのポリシー・マネージャを最初にインストールします。
次に、IIS Webサーバーのポリシー・マネージャをインストールします。
ポリシー・マネージャのインストールを開始する前に、表7-1のタスクを完了していることを確認してください。すべての前提条件を満たさない場合、Oracle Access Managerインストールに悪影響を及ぼすことがあります。
表7-1 ポリシー・マネージャの前提条件チェックリスト
チェックリスト | ポリシー・マネージャの前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
|
第II部「アイデンティティ・システムのインストールおよび設定」のアクティビティをすべて完了する。 |
|
第5章「WebPassのインストール」で説明されているように、このポリシー・マネージャのWebPassをインストールして、次を実行する。
|
|
Webサーバー固有の詳細事項の確認。 |
ポリシー・マネージャは、WebPassと同じディレクトリにインストールする必要があります。WebPassが含まれていないディレクトリを指定する場合、WebPassをインストールするか、別のディレクトリを指定するかの指定を求められます。WebPassのインストールを選択する場合、自動的に起動します。
ポリシー・マネージャをインストールしながら、記入済のインストール準備ワークシートを参照します。インストール・タスクは、次の手順にわかれています。
「インストールの開始」で説明されているように、インストール・メソッドを選択して、プロセスを開始します。
「ディレクトリ・サーバー・タイプおよびポリシー・データの場所の定義」で説明されているように、ディレクトリ・サーバーおよびデータの場所を特定します。
「トランスポート・セキュリティ・モードの指定」で説明されているように、トランスポート・セキュリティ・モードを特定します。
「ポリシー・マネージャのWebサーバー構成の更新」で説明されているように、Webサーバー構成を更新します。
「ポリシー・マネージャのインストールの終了」で説明されているように、インストールを完了します。
必ず、使用するWebサーバーに適したインストール・パッケージを選択し、表7-1の内容に従ってWebサーバー固有の詳細事項を確認します。
管理者権限を持つユーザーとしてログインします。
作成した一時ディレクトリでポリシー・マネージャ・インストーラ(インストールするアクセス・システム言語パックを含む)を検索します。
選択したプラットフォーム、インストール・メソッド、およびWebサーバーのポリシー・マネージャ・インストーラを起動します。
次に例を示します。
GUIメソッド
Oracle_Access_Manager10_1_4_3_0_Win32_API_Policy_Manager.exe
コンソール・メソッド
./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_Policy_Manager
「ようこそ」画面が表示されます。
「次へ」をクリックして、「ようこそ」画面を閉じます。
プラットフォームに基づいて管理者権限に関する質問に応答します。次に例を示します。
ポリシー・マネージャのインストール・ディレクトリを指定するよう求められます。
インストール先を選択してから、「次へ」をクリックします。
次に例を示します。
\OracleAccessManager\Webcomponent
言語パック: この画面が表示される場合、インストールするデフォルト・ロケールおよびその他のロケールを選択してから、「次へ」をクリックします。
サマリーでは、インストール・ディレクトリおよび必要なディスク領域を識別し、後で参照できるように情報をメモするようユーザーに指示します。
必要に応じてインストール・ディレクトリ名を記録して、「次へ」をクリックします。
数秒間、ポリシー・マネージャをインストール中という通知があります。Windowsシステムの場合、Microsoft管理インタフェースが構成中であることが通知されます。情報は保存されており、前の画面に戻って情報を再指定することはできません。
インストール・プロセスはまだ完了していません。Oracle Access Managerポリシー・データの場所の指定を求められます。
Oracle Access Managerポリシー・データには、リソースへのアクセスを管理するルールが含まれています。ポリシー・データの格納場所およびOracle Access Managerスキーマをここで追加するか、後で追加するかの指定を求められます。ポリシー・データが格納されている場所に応じて、次のように実行します。
同じディレクトリ・サーバー: 「いいえ」と応答します。Oracle Access Managerポリシー・データが構成データまたはユーザー・データと同じディレクトリ・サーバーに格納される場合、アイデンティティ・サーバーのインストール中にスキーマが追加されているため、更新は必要ありません。
個別のディレクトリ・サーバー: Oracle Access Managerポリシー・データが構成データまたはユーザー・データとは別のディレクトリ・サーバーに格納される場合、Oracle Access Managerスキーマを追加する必要があります。この追加は次のいずれかで実行できます。
自動: 「はい」と応答して、ここでスキーマを自動的に更新します。
手動: 「いいえ」と応答して、後でスキーマを手動で更新します。詳細は、「スキーマおよび属性の自動更新と手動更新」を参照してください。
ディレクトリ・サーバー・タイプを選択して、「次へ」をクリックします。
次に例を示します。
Sun
ポリシー・データの格納場所についての質問に応答します。
いいえ: ポリシー・データがユーザー・データおよび構成データと一緒に格納される場合、または後でスキーマを手動で更新する場合、「いいえ」と応答します。
はい: ポリシー・データが個別に格納される場合、またはここでスキーマを自動的に更新する場合、「はい」と応答します。
この情報は保存され、戻って情報を再指定することはできません。
「次へ」をクリックして、環境に該当する手順にスキップします。
Solarisシステムでのインストール中、ポリシー・データが他のOracle Access Managerデータと一緒に格納される場合、既存のディレクトリ・サーバーの通信方法について指定を求められます。
ディレクトリ・サーバー通信の詳細の指定の手順
SSLでディレクトリ・サーバー通信の保護についての質問に応答し、「次へ」をクリックします。
注意: Sun WebサーバーとともにSolarisにインストールされているポリシー・マネージャでは、SSL対応通信がサポートされます。 |
SSL: 証明書へのパスを指定し、「次へ」をクリックします。
「トランスポート・セキュリティ・モードの指定」に進みます。
Windowsシステムでのインストール中、ポリシー・データが他のOracle Access Managerデータと一緒に格納される場合、ディレクトリ・サーバーとの通信について指定を求められます。
ADSIでActive Directoryを使用している場合は「はい」(使用していない場合は「いいえ」)をクリックしてから、「次へ」をクリックします。次に例を示します。
いいえ
次に、ユーザー・データ、構成データ、およびポリシー・データの3タイプそれぞれに対するディレクトリ・サーバーとポリシー・マネージャ間の通信について指定を求められます。
ディレクトリ・サーバーでSSL通信が必要な各データのタイプの横のボックスを選択してから、「次へ」をクリックします。次に例を示します。
ディレクトリ・サーバー...ユーザー・データはSSL内に存在
ディレクトリ・サーバー...構成データはSSL内に存在
ディレクトリ・サーバー...ポリシー・データはSSL内に存在
SSL: 各証明書へのパスを指定してから、「次へ」をクリックします。
「トランスポート・セキュリティ・モードの指定」に進みます。
ポリシー・データが個別に格納されている場合、ディレクトリ・サーバーのタイプおよびその他の関連する詳細を識別する必要があります。詳細は、「データ記憶域の要件」を参照してください。
個別に格納されたポリシー・データのディレクトリ・サーバー・タイプを指定してから、「次へ」をクリックします。次に例を示します。
Sun
次のディレクトリ・サーバー構成情報を指定してから、「次へ」をクリックします。次に例を示します。
ホスト名: ポリシー・データのディレクトリ・サーバー・コンピュータのDNSホスト名
ポート番号: ポリシー・データのディレクトリ・サーバーがリスニングするポート番号(SSL接続の場合、暗号化ポートを指定)
バインドDN: ポリシー・データのディレクトリ・サーバーのDN
注意: バインドDNとして入力する識別名には、ディレクトリ情報ツリー(DIT)のポリシー・データ・ブランチに対する完全な権限がある必要があります。Oracle Access Managerは、このアカウントでディレクトリ・サーバーにアクセスします。例は、表7-2を参照してください。ユーザーの構成は異なる場合があります。 |
表7-2 サポートされているディレクトリ・サーバーのバインドDNの例
ディレクトリ・サーバー | バインドDN |
---|---|
Sun Directory Server 5.x |
cn=administrator 注意: cn=Directory Managerを使用しないことをお薦めします。詳細は、「ディレクトリ・サーバーの要件の実現」を参照してください。 |
パスワード: ユーザー・データのディレクトリ・サーバーのバインドDNのパスワード
SSL接続を使用して更新しますか。(「はい」または「いいえ」): Sun WebサーバーとともにSolarisにインストールする場合、SSLはサポートされていないため、通信は「オープン」にする必要があります。
SSLを示した場合は手順3を完了します。
SSLのみ: 証明書パスを指定し、「次へ」をクリックします。
指定した情報内にエラーが存在する場合、スキーマを更新できません。インストール中に構成情報を変更したり、ファイル: \PolicyManager_install_dir\access\oblix\tools\ldap_tools\ds_conf_updateを使用して後でスキーマを手動更新できます。「スキーマおよび属性の自動更新と手動更新」も参照してください。
次に、トランスポート・セキュリティについて指定を求められます。
ポリシー・マネージャおよびWebPassのトランスポート・セキュリティ・モードを指定する必要があります。すべてのアクセス・システム・コンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連WebGate)間のトランスポート・セキュリティは一致している必要があります(すべてオープン、シンプルまたは証明書モード)。
残りのアクセス・システムと通信するためにこのポリシー・マネージャが使用するトランスポート・セキュリティ・モードを指定します。
「次へ」をクリックして、選択したトランスポート・セキュリティ・モードに従って、次の操作を実行します。次に例を示します。
オープン: 「ポリシー・マネージャのWebサーバー構成の更新」にスキップします。
シンプル: アクセス・システム・パスフレーズを指定および確認してから、「次へ」をクリックして「ポリシー・マネージャのWebサーバー構成の更新」に進みます。
証明書: 証明書パスワード(PEM句)を指定および確認し、「次へ」をクリックして手順3に進みます。
証明書: 証明書をリクエストまたはインストールしていることを示してから、手順を完了し、「次へ」をクリックして「ポリシー・マネージャのWebサーバー構成の更新」に進みます。
注意: 証明書が\PolicyManager_install_dir\access\oblix\configディレクトリにコピーされ、ポリシー・マネージャWebサーバーが再起動されるまでポリシー・マネージャは設定できません。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
ポリシー・マネージャのWebサーバー構成を更新できます。
Webサーバーは、ポリシー・マネージャと連動するように構成する必要があります。このWebサーバー構成の更新を自動または手動で実行するように指定できます。
注意: 自動的にWebサーバー構成を更新することをお薦めします。ただし、手動による構成指示も含まれています。 |
Webサーバーを自動的に更新するには「はい」をクリックしてから、「次へ」をクリックします。
ほとんどのWebサーバー: Webサーバー構成ファイルを含むディレクトリの絶対パスを指定して、「次へ」をクリックします。
IIS Webサーバー: プロセスが即時に開始され、プロセスには1分以上かかることがあります。詳細は、第19章「IIS WebサーバーのWebコンポーネントのインストール」を参照してください。
Webサーバー構成が更新されたことを通知する画面が表示されます。
Sun Webサーバー: 続行する前に、Webサーバー管理コンソールで変更を適用します。
ポリシー・マネージャのWebサーバー・インスタンスを停止し、アイデンティティ・サーバー・サービスを停止および再起動して、ポリシー・マネージャのWebサーバー・インスタンスを開始します。
注意: IIS Webサーバーの場合、特にポリシー・マネージャのインストール後にnet stop iisadmin およびnet start w3svc を使用してWebサーバーを停止および開始すると効率的です。netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。詳細は、第19章「IIS WebサーバーのWebコンポーネントのインストール」を参照してください。 |
「次へ」をクリックして通知を閉じ、「ポリシー・マネージャのインストールの終了」に進みます。
READMEの情報が表示されます。
自動更新を続行するかどうかの指定を求められた場合、「いいえ」をクリックしてから「次へ」をクリックします。
新規のウィンドウが表示され、Oracle Access ManagerのWebサーバーの手動設定が可能になります。
ポリシー・マネージャのインストール画面に戻り、「次へ」をクリックします。
インストールを終了した後、およびポリシー・マネージャを設定する前に「Webサーバーの手動構成」を参照してください。
READMEの情報には、ドキュメントおよびオラクル社の連絡先に関する詳細が記載されています。
READMEの情報を確認してから、「次へ」をクリックします。
ポリシー・マネージャが正常にインストールされたことが通知されます。
「終了」をクリックして、ウィザードを閉じます。
必要に応じて、次の手順に進みます。
セキュリティ強化Linux(SELinux): このプラットフォームにインストールしたポリシー・マネージャに対してchcon
コマンドを実行します。
ネイティブPOSIXスレッド・ライブラリ(NPTL): Oracle Access Manager WebコンポーネントをNPTLで使用できるようにインストールすると、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要がありません。
「Webサーバーの手動構成」(インストール時にWebサーバーを手動構成しなかった場合)
ポリシー・マネージャのインストール中に、Webサーバーのインストールを自動で更新するかどうかの指定を求められます。「いいえ」を選択した場合、ポリシー・マネージャを設定する前にこれを手動で実行する必要があります。
Webブラウザを起動し、必要に応じて次のファイルを開きます。
\PolicyManager_install_dir\access\oblix\lang\langTag\docs\config.htm
ここで、\PolicyManager_install_dirは、ポリシー・マネージャをインストールしたディレクトリであり、langTagは言語固有のディレクトリです(en-usなど)。
画面の表から該当するサポート対象のWebサーバー・インタフェース構成プロトコルを選択します。
表示される各Webサーバーのタイプに固有の指示にすべて従い、次の点に注意します。
Webサーバーの設定中に変更する必要があるファイルのバックアップ・コピーを作成します。これは、再度Webサーバーを設定する必要がある場合に使用できます。
設定によっては、新しいブラウザ・ウィンドウが起動されます。または、情報を入力するためにコマンド・ウィンドウを起動する必要があります。このため、元の設定指示に戻ってすべてを実行し、該当するOracle Access ManagerファイルをWebサーバーが認識できるようにします。
次の手順に進みます。
作成する新規ポリシーを書き込むために、ポリシー・マネージャはディレクトリ・サーバーと通信する必要があります。次の手順は、この通信に必要な接続を確立する場合のガイドです。
設定中は、「次へ」ボタンをクリックするたびに仕様が保存されます。設定を中止して後で設定を再開すると、同じ場所に戻ります。
「設定プロセスの開始」で説明されているように、プロセスを開始します。
「ディレクトリ・サーバー詳細およびデータの場所の指定」で説明されているように、ディレクトリ詳細を定義します。
「認証スキームとデフォルト・ポリシー・ドメインの構成」で説明されているように、認証スキームを設定します。
「ポリシー・マネージャの設定の完了」で説明されているように、設定プロセスを終了します。
ポリシー情報の格納に使用するディレクトリ・サーバーがOracle Access Managerスキーマにロードされていない場合、ポリシー・マネージャの設定は完了できません。
次の条件のいずれにも該当する場合、設定プロセスを開始する前に、ポリシー・データのディレクトリ・サーバーのスキーマを手動で更新する必要があります。
個別のディレクトリ・サーバーにポリシー・データを格納する場合
アイデンティティ・システムの設定中にこのディレクトリ・サーバーのスキーマを更新しなかった場合
これを実行する必要がある場合、次のファイルの指示を使用してください。
\PolicyManager_install_dir\access\oblix\lang\langTag
\ldap_schema_changes_directory_server.html
ここで、パス名のdirectory_serverは、特定のディレクトリ・サーバー・タイプを表し、\langTagは、使用中の言語(たとえば\en-usなど)を表します。
Webサーバーが実行されていることを確認します。
ポリシー・マネージャに接続するWebPassインスタンスのURLを指定して、ブラウザからアクセス・システム・コンソールに移動します。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号をそれぞれ指し、/access/oblix
はアクセス・システム・コンソールに接続します。
アクセス・システムのメイン・ページが表示されます。
「アクセス・システム・コンソール」リンクをクリックします。
アプリケーションがまだ設定されていないことが通知されます。
「セットアップ」ボタンをクリックします。
次のページでディレクトリ・サーバー・タイプについて指定します。
「ディレクトリ・サーバー詳細およびデータの場所の指定」に進み、詳細は第21章「重要な注意事項」を参照してください。
ユーザー・データ、構成データ、およびポリシー・データが格納されるディレクトリ・サーバーの詳細を指定する必要があります。各タイプのデータに対してディレクトリ・サーバーの情報を指定するよう求められます。
ユーザー・データ
構成データ
ポリシー・データ
ディレクトリ・サーバー・タイプは、アクティビティの範囲に影響を与えます。Sunディレクトリ・サーバーでは、ポリシー・データを構成データやユーザー・データとは異なるディレクトリ・サーバーに格納できます。すべてのポリシー・データは、同じディレクトリ・サーバーに格納する必要があります。
Active Directoryでは、純粋なADSI構成が作成され、ADSIオプションを選択する場合、ディレクトリ・サーバーへの通信はADSIを介して構成されます。「動的補助オブジェクト・クラス(Windows 2003のみ)」を有効化する場合、「動的リンク補助クラスについて」を参照してください。
設定中に表示される情報は、環境により異なります。この例では、ユーザー・データ、構成データ、およびポリシー・データは同じディレクトリ・サーバーに格納されています。ユーザーの環境とは異なる場合があります。
ポリシー・マネージャの設定中のディレクトリ・サーバー詳細の指定の手順
ユーザー・データのディレクトリ・サーバー・タイプを選択してから、「次へ」をクリックします。次に例を示します。
Sun
ここで、ユーザー・データのディレクトリ・サーバー詳細を指定して、ポリシー・マネージャがディレクトリ・サーバーを検索して、このディレクトリ・サーバーに情報をコピーできるようにします。
インストールに従ってユーザー・データのディレクトリ・サーバー詳細を指定してから、「次へ」をクリックします。次に例を示します。
コンピュータ: ユーザー・データのディレクトリ・サーバーのDNSホスト名
ポート番号: ユーザー・データのディレクトリ・サーバーのポート番号
ルートDN: ユーザー・データのディレクトリ・サーバーのバインドDN
ルート・パスワード: バインドDNパスワード
注意: Active Directoryの場合、「ドメイン名」フィールドは、入力に含まれます。ADSIの場合、「ユーザー・プリンシパル名」フィールドは、ルートDNのUserPrincipleNameを入力する場所(admin@mycompany.comなど)に含まれます。 |
ユーザー・データおよび構成データの格納場所について指定を求められます。
構成データのディレクトリ・サーバー・タイプを選択してから、「次へ」をクリックします。次に例を示します。
Sun
次に、ユーザー・データおよび構成データを同じディレクトリまたは個別のディレクトリに格納できることが通知され、デプロイの構成を選択するよう求められます。
ユーザー・データおよび構成データが(一緒または個別に)格納される場所を記述する項目を選択してから、「次へ」をクリックします。
データが一緒に格納される場合、ポリシー・データの格納場所の指定を求められます。この場合は、手順5に進みます。
データが個別に格納される場合、作業を続行する前に、構成データのディレクトリ・サーバー詳細を指定するよう求められます。
ポリシー・データおよび構成データが(一緒または個別に)格納される場所を記述する項目を選択して、「次へ」をクリックします。
データが一緒に格納される場合、手順6に進みます。
データが個別に格納される場合、作業を続行する前に、ポリシー・データのディレクトリ・サーバー詳細を指定するよう求められます。
次のページで「セットアップ・ヘルプ」ボタンが表示されます。このボタンを選択して、設定プロセス中の追加情報を取得できます。ここで、構成DN、検索ベース、およびポリシー・ベースの場所を指定するよう求められます。
注意: 構成DN、検索ベース、およびポリシー・ベースは、ディレクトリ・ツリーと同じレベルにある場合も異なるレベルにある場合もあります。ただし、検索ベースおよびポリシー・ベースが個別のディレクトリにある場合、これらには固有のDNを指定する必要があります。つまり、これらが個別のディレクトリに入っている場合、検索ベースはo=oblix,<ポリシー・ベース>またはou=oblix,<ポリシー・ベース>にできません。同様に、ポリシー・ベースおよび構成DNが個別のディレクトリに入っている場合、同じにはできません。 |
インストールに該当する情報を指定して、「次へ」をクリックします。次に例を示します。
これは、アイデンティティ・システム構成中に指定した検索ベースと同じである必要があります。
これは、アイデンティティ・システム構成中に指定した構成DNと同じである必要があります。
このノードは、ポリシー・ディレクトリ・サーバー内に存在します。このノードが存在していない場合、手動で作成します。
ここで、Personオブジェクト・クラスを指定するよう求められます。これは、アイデンティティ・システムの設定中に指定したものと一致する必要があります。詳細は、準備ワークシートおよび「Personオブジェクト・クラスおよびGroupオブジェクト・クラスの詳細の指定の手順」を参照してください。
Personオブジェクト・クラス名を入力して、「次へ」をクリックします。
次に例を示します。
人オブジェクト・クラス: gensiteOrgPerson
この時点で、Webサーバーの再起動を求めるプロンプトが表示されます。
注意: IISを使用している場合、画面上の追加の指示に従います。net stop iisadmin およびnet start w3svc を使用してIISを停止および開始することを検討してください。netコマンドは、メタベースが破損しないようにするために役立ちます。 |
通常どおりWebPass/ポリシー・マネージャのWebサーバー・インスタンスおよび関連するアイデンティティ・サーバーのインスタンスを停止および再起動し、「次へ」をクリックして続行します。
ここで、Oracle Access Managerポリシー・ドメインのルート・ディレクトリを指定するよう求められます。
ポリシー・ドメインを定義および保護するマスター管理者の機能を制限しない場合は、デフォルト値"/"を受け入れることをお薦めします。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
ポリシー・ドメインのデフォルトのルート・ディレクトリを受け入れ(または新規ルート・ディレクトリを指定して)、「次へ」をクリックします。次に例を示します。
Policy Domain Root /
次のページで認証スキームの構成の情報を指定します。
この項目では、ポリシー・マネージャの設定中に作成可能な認証スキームとデフォルト・ポリシー・ドメインについて説明します。
ポリシー・マネージャの設定中に、次の2つの認証スキームが自動的に構成されます。
Oracle Access and Identity Basic Over LDAP: Oracle Access Manager関連リソース(URL)およびActive DirectoryのOracle Access Manager関連リソース(URL)の保護に使用します。
匿名: 特定のOracle Access Manager URLの保護解除に使用します。
匿名認証方式は、匿名ユーザーに提供されるため特に有用です。ユーザーは、自己登録およびロスト・パスワード管理などのアクセス・システムにより保護されないOracle Access Manager固有のURLにアクセスできます。
また、ユーザー・ディレクトリの構成情報に基づき、基本およびクライアント証明書認証スキームを自動的に構成できます。
Basic Over LDAP: この組込みWebサーバー・チャレンジ・メカニズムでは、ユーザーはログインIDおよびパスワードを入力する必要があります。指定された資格証明は、LDAPディレクトリ・サーバーでユーザー・プロファイルと比較されます。
クライアント証明書: これは、証明書ベースのユーザー識別方式です。この方式を使用するには、証明書がブラウザにインストールされており、WebサーバーでSSLが有効化されている必要があります。
各スキームの設定ページ上のフィールドには、設定するOracle Access Manager環境と一貫性のある情報を入力する必要があります。ほとんどの場合、該当するデフォルトが設定ページに表示されます。これらのパラメータは、アクセス・システム・コンソールを使用して後で変更できます。
また、デフォルト・ポリシー・ドメインを設定するかどうかの指定を求められます。これによりアクセスURLおよびアイデンティティURLが保護されます。このオプションを受け入れる場合、次の2つのポリシー・ドメインが自動的に作成されます。
注意: アイデンティティURLおよびポリシーURLを保護するには、AccessドメインとIdentityドメインの作成を受け入れることをお薦めします。受け入れない場合、後でこれらのポリシーを手動で作成する必要があります。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
自動構成は拒否できます。その場合、後でBasic Over LDAPおよびクライアント証明書認証スキームをアクセス・システム・コンソールで設定する必要があります。また、アイデンティティURLおよびポリシーURLを保護するには、ポリシー・ドメインを手動で設定して有効にする必要があります。認証スキームおよびポリシー・ドメインの詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
自動構成の手順を開始するには「はい」を選択し、すべての認証スキームを手動で設定するには「いいえ」を選択してから、「次へ」をクリックします。
「はい」の場合、手順2に進みます。
それ以外の場合は、手順5にスキップします。
自動的に構成する認証スキームを選択してから、「次へ」をクリックします。
必要に応じてBasic Over LDAPのパラメータを確認および変更してから、「次へ」をクリックします。
必要に応じてクライアント証明書のパラメータを確認および変更してから、「次へ」をクリックします。
次に、ポリシーを構成してOracle Access Manager関連(URL)を保護するかどうかの指定を求められます。デフォルトは、「いいえ」です。
ポリシーを構成するには「はい」(または「いいえ」)を選択して、「次へ」をクリックします。たとえば、「はい」を選択します。
注意: ポリシー・ドメインを使用する前に、アクセス・サーバーおよびWebGateを関連付けてインストールする必要があります。さらに、ポリシー・ドメインを有効にして動作させる必要があります。ポリシー・ドメインの詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
次のページで、ポリシー・マネージャの設定を完了するための指示が表示されます。
データ・ディレクトリの保護ページには、アイデンティティ・システムのセキュリティを維持するために保護する必要があるOracle Access Managerのディレクトリが表示されます。
ブラウザからのアクセス、およびファイル・システムによってディレクトリにアクセスするネットワーク・ユーザーからのアクセスを制限する必要があります。ディレクトリを保護する方法に関する指示が必要な場合は、使用中のWebサーバーおよびオペレーティング・システムのドキュメントを参照してください。
ポリシー・ドメイン内のアクセス・システムも保護できます。
画面上のページの後半部には、Oracle Access Managerポリシー・ドメインの構成についての追加情報が表示されます。
続行する前にページ上のすべての情報を読んでください。
次の順序で、Webサーバーおよびアイデンティティ・サーバーのサービスを再起動します。
ポリシー・マネージャと同じWebPassのWebサーバー・インスタンスを停止します。
WebPassのアイデンティティ・サーバー・サービスを停止して再起動します。
WebPass/ポリシー・マネージャのWebサーバー・インスタンスを再起動します。
Webサーバーの再起動の後、「完了」をクリックします。
ポリシー・マネージャのホームページが表示されます。
次の情報を確認します。次の手順のいずれも実行できます。
『Oracle Access Managerアクセス管理ガイド』で説明されているように、設定中ディレクトリの保護ページに示されるディレクトリを保護します。
ログインして、設定プロセス中に自動的に構成された認証スキームを確認することによって、ポリシー・マネージャの設定を容易に確認できます。また、『Oracle Access Managerアクセス管理ガイド』で説明されているように、アクセス・システム・コンソールの使用を開始して、アクセス・サーバー・インスタンスを設定し、その他の管理者を定義することもできます。
ブラウザからアクセス・システム・コンソールに移動します。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号をそれぞれ指し、/access/oblixはアクセス・システム・コンソールに接続します。
「アクセス・システム・コンソール」リンクを選択します。
マスター管理者権限を持つユーザーとしてログインします。
アクセス・システム・コンソールが表示されます。
トップ・ナビゲーション・バーのタブをクリックして、オプションのリストを表示できます。これは、画面上のページの左側に表示されます。たとえば、手順4を完了して、現在構成されている認証スキームのリストを表示します。
「アクセス・システム構成」タブを選択して、左列に表示される「認証管理」をクリックします。
現在構成されている認証スキーマのリストが新規ページの本体に表示されます。スキーマの自動構成を選択しなかった場合、何もリストされません。
この時点で、次を実行できます。
スキームに対応するリンクをクリックして認証スキームの構成詳細を表示すること。
サイド・ナビゲーション・バーの「アクセス・サーバー構成」を選択してアクセス・サーバー・インスタンスを追加すること(これはアクセス・サーバーのインストールの前提条件です)。詳細は、「アクセス・サーバーのインストール」を参照してください。
アクセス・システム・コンソールおよびポリシー・マネージャの内容表示を続行すること。
たとえば、『Oracle Access Managerアクセス管理ガイド』で説明されているように、ポリシー・ドメインを定義または変更できます。アクセス・サーバーまたはWebGateをインストールしていない場合でも、これらを定義する機能に影響はありません。これらのコンポーネントをインストールした後は、ポリシー・ドメインに影響を与えます。
サイド・ナビゲーション・バーの「ログアウト」を選択してログアウトすること。
詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
アクセス・サーバーのインストール。詳細は、第8章「アクセス・サーバーのインストール」を参照してください。