| Oracle Web Services Managerデプロイメント・ガイド 10g(10.1.3.1.0) B31905-01 |
|
 戻る |
 次へ |
この付録では、Oracle Web Services Manager(Oracle WSM)でサポートされている認証タイプと、それらの構成方法について説明します。
この付録は、次の項で構成されています。
Oracle WSMでは、次の2タイプの認証をサポートしています。
システム認証: システム認証は、Oracle WSM管理者と、システムのコンポーネントおよび機能を管理する権限を与えられたその他ユーザーの識別情報を検証します。デフォルトでは、ユーザーとパスワードは、Oracle WSMデータベースにある管理レジストリに格納されています。LDAP v3ディレクトリを使用してシステム・ユーザーを認証するように、Oracle WSMを構成することもできます。ロールの詳細は、『Oracle Web Services Manager管理者ガイド』を参照してください。
エンドユーザー認証: エンドユーザー認証は、Oracle WSMによって保護されているサービスをリクエストするユーザーの識別情報を検証します。リクエスト側のアプリケーションが接続をリクエストすると、Oracle WSM Policy Managerのために認証および認可ポリシー・ステップを実行するポリシー実行ポイント(PEP)で、リクエストが処理されます。PEPの概要は、「Oracle Web Services Managerのデプロイメント」を参照してください。認証および認可ポリシー・ステップを実行し、リクエスト側のアプリケーションの識別情報を検証するために、次のリソースのいずれかを使用できます。
Oracle Access Manager
CA eTrust SiteMinder
標準LDAP v3ディレクトリ
Microsoft Active Directory
Oracle Access ManagerとOracle WSMは、統合された総合的な識別情報管理、Webサービス・セキュリティおよびシステム監視ソリューションを提供します。
この項では、Oracle WSMとOracle Access Managerを統合して、ユーザーを認証し、ユーザーの権限を検証する方法について説明します。
|
注意: Oracle Access Managerは、以前はOblix NetPointおよびOracle COREidとして知られていました。 |
Oracle Access Managerを使用して、Oracle WSM操作に対する認証および認可サービスを提供できます。Oracle Access Managerでは、クライアントの識別情報を認証し、クライアントの識別情報に応じて様々なレベルのアクセス権限を認可します。
この概要では、Oracle Access Managerコンポーネントについて簡単に説明します。Oracle Access ManagerをOracle WSMと統合するための要件も確認します。
Oracle Access Managerは、次のコンポーネントで構成されています。
IDシステム: IDシステムは、個人、グループ、組織およびその他オブジェクトの識別情報を管理します。IDシステムでは、ユーザーIDと、企業全体の他のアプリケーションやシステムのポリシー情報も利用します。これにより、アプリケーションごとに別々のユーザーIDリポジトリを作成し、管理する必要はありません。
IDシステムは、Identity ServerとWebPassコンポーネントで構成されています。管理者は、これらのコンポーネントを、IDシステム・コンソールとして知られるWebベース管理ツールを使用して構成します。
『Oracle Access Managerインストレーション・ガイド』および『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
アクセス・システム: アクセス・システムは、すべてのWebアプリケーションにわたり、シングルサインオンを提供するアクセス制御システムです。各種アクセス・ポリシーをサポートしており、IDシステムと完全に統合され、ユーザー・プロファイルの変更はただちにアクセス・システムのポリシー実行に反映されます。
アクセス・システムは、Policy Manager、Access ServerおよびWebGateで構成されています。
Policy Manager: Policy Managerは、管理者がアクセス・ポリシーを作成および管理できるWebベースのインタフェースを提供します。Policy Managerは、ポリシー・データを書き込むためにディレクトリ・サーバーとの通信も行い、特定のポリシー変更が行われた場合はAccess Serverとも通信します。
Policy Managerのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
マスター・アクセス管理者と委任アクセス管理者は、Policy Managerとアクセス・システム・コンソールを使用します。
アクセス・システム・コンソール: これは、システム構成、システム管理およびアクセス・システム構成関連の特徴および機能を管理者に提供する、Webベースのアプリケーションです。
Access Server: Access Serverでは、リクエストを受信し、ディレクトリ・サーバー内の認証、認可および監査ルールを問い合せます。ディレクトリ・サーバー内の情報に基づき、Access Serverでは認証スキームの送信、ユーザー資格証明書の検証、ユーザーの認可、セッションの監査および管理を行います。
Access Serverプロセスの詳細と概要は、『Oracle Access Manager概要』を参照してください。
WebGate: WebGateは、サーバー・プラグインOracle Access Managerアクセス・クライアントで、Webリソースに対するHTTPリクエストを捕捉し、認証および認可のためにそれらをAccess Serverに転送します。WebGateは、Oracle Access Managerに付属しており、そのまますぐに使用できます。
AccessGate: AccessGateは、カスタマまたはOracleのいずれかによって、ソフトウェア開発キット(SDK)とOracle Access Manager APIを使用して特に開発されるカスタム・アクセス・クライアントです。AccessGateは、ユーザーまたはアプリケーションからの、WebおよびWeb以外のリソース(つまり、非HTTP)に対するリクエストを処理する、アクセス・クライアントの一種です。
次のコンポーネントは、次の手順で指定した順序でインストールする必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
Oracle Web Services Managerを、『Oracle Web Services Managerインストレーション・ガイド』で説明されているようにインストールします。
次のものを含むIDシステムをインストールし、設定します。
Identity Server
WebPass
詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
次の各コンポーネントについて、1つ以上のインスタンスをインストールし、設定します。
Policy Manager(アクセス・システム・コンソールを含む)。
Policy Managerの設定時に、ポリシー・ベースを定義します。
Policy Managerの設定時に、ポリシー・ドメイン・ルートを定義します。
Policy Managerの設定時に、デフォルトの認証スキームをそのまま使用します(デフォルトを使用しない場合は、設定後にアクセス・システム・コンソールを使用して認証スキームを作成する必要があります)。
マスター・アクセス管理者を作成します。マスター・アクセス管理者は、ポリシー・ドメイン、リソース・タイプ、スキームと呼ばれるアクセス制御テンプレートを作成し、他の管理者にポリシー・ドメインの委任管理者のロールを割り当てる権限を持ちます。
Access Server。
AccessGateを作成し、Oracle WSMと同じマシンにインストールします。
詳細は、『Oracle Access Manager開発者ガイド』を参照してください。
Oracle Access Manager Policy Managerを使用して、リソースを保護します。
ポリシー・ドメインを作成します。
リソース・タイプをURLマッピングにバインドします。
1つ以上の認可ルールを作成し、ユーザーおよびグループをこれらのルールに関連付けます。認可ルールは、誰がリソースにアクセスでき、誰がリソースへのアクセスを明示的に拒否されるかを識別します。1つのポリシー・ドメインまたはポリシーに対する認可条件式に、1つ以上の認可ルールを含めることができます。『Oracle Access Manager Access System Administration Guide』の「ユーザー認可の構成」を参照してください。
ポリシー・ドメインの認証ルール、認可条件式および監査ルールを含む、デフォルトのルールを作成します。
ポリシー・ドメイン内のリソースのサブセットを保護するためのポリシーを作成します。ポリシーにより、ドメイン内のリソースのサブセットをどのように保護するかを区別できます。ポリシーを使用することにより、ポリシー・ドメイン内のリソースのサブグループに対して、厳しさの程度の異なる保護を設定できます。『Oracle Access Manager Access System Administration Guide』の「ポリシー・ドメインによるリソースの保護」を参照してください。
ポリシー・ドメインをテストします。
詳細は、『Oracle Access Manager Access System Administration Guide』を参照してください。
AccessGateを使用するようにOracle WSMを構成します。
「カスタムAccessGateを使用するためのOracle WSMの構成」を参照してください。
Oracle WSMと連係するようにAccessGateを構成します。
Oracle WSMでポリシー・ステップを構成します。
「Oracle WSMでのポリシー・ステップの構成」を参照してください。
後続の項では、認証メカニズム、リソース、およびAccess ServerとAccessGateのURLパターンについて説明します。
Oracle WSMでは、次のOracle Access Manager認証メカニズムをサポートしています。
Oracle WSMでは、これら3つの認証方法を2つの方法にまとめ、ユーザー名とパスワード、およびクライアント証明書として実装します。
表D-1では、Oracle WSMとOracle Access Manager認証メカニズムとの対応を示しています。
表D-1 認証メカニズムの比較
| Oracle Web Services Manager |
Oracle Access Manager |
|---|---|
|
ユーザー名とパスワード |
Basic over LDAP |
|
ユーザー名とパスワード |
Oracle Access and Identity |
|
クライアント証明書 |
クライアント証明書 |
Oracle WSMとOracle Access Managerを統合する場合、認証にユーザー名とパスワード(Basic over LDAP)またはクライアント証明書のいずれを使用するかを決める必要があります。
リソース
サポートされているリソースはHTTPのみです。
URLパターン
URLパターンは、次の例のようになります。
http:///gateway/services/TimeService
Oracle WSM Policy Managerで認証ポリシーを設定するには、次の手順を完了します。
Oracle WSMをインストールします。
Oracle WSMが存在するシステムにAccessGateをインストールします。
Oracle WSMの起動スクリプトを、AccessGate Javaネイティブ・ライブラリのライブラリ・パスが含まれるように変更します。
AccessGateとOracle Access Manager間のハンドシェイクを容易にするには、次のディレクトリにあるユーティリティconfigureAccessGate.exeを実行します。
installdirectory\AccessServerSDK\oblix\tools\configureaccessgate
installdirectoryは、Access Manager SDKインストールのルート・フォルダです。
コマンド・プロンプトから、次のコマンドを実行します。
configureAccessGate.exe -i installdirectory\AccessServerSDK -t AccessGate -P AccessGatePwd -w CoreSvAccessGt -m open -h AccessServerHostname -p accessserverport -a accessserverid -r AccessServerpassphrase
パラメータは、表D-2で説明されています。
表D-2 configureAccessGate.exeパラメータの説明
| パラメータ | 説明 |
|---|---|
|
|
AccessServerSDKのインストール・ディレクトリ。 |
|
|
AccessGateキーワード。示されたとおりに入力します。 |
|
|
AccessGateパスワード。AccessGateのエントリが、Oracle Access Managerで作成されると、パスワードを指定できます。 |
|
|
Oracle Access ManagerでAccessGateエントリが作成されるときに指定したAccessGate名。 |
|
|
Oracle Access Managerコンポーネント間モード。有効値は、 |
|
|
Access Serverがインストールされているホストの名前。 |
|
|
Access Serverが稼働しているポート。 |
|
|
Oracle Access Manager内のAccess Server名。 |
|
|
Access Server簡易モード・パスワード。このパスワードは、Oracle Access Manager内のAccess Serverが |
Oracle Access Manager Policy Managerでポリシーを設定するために完了する必要のある作業の概要は、次のとおりです。
作業の概要: Oracle Access Manager Policy Managerでのポリシーの設定
ポリシー・ドメインを作成します。
リソース・タイプとURLのマッピングを作成します。
ポリシー・ドメインでポリシーを作成します。
デフォルトの認証ルールを定義します。
デフォルトの認可ルールを定義し、ユーザーおよびグループをルールに関連付けます。
後続の項では、Oracle WSMというポリシー・ドメインを作成するために、Oracle Access ManagerでOracle Access Manager Policy Managerアプリケーションを使用する方法について説明します。TimeServiceというサービスを保護するために、Oracle Access and Identity Basic Over LDAP認証スキームを使用する方法についても説明します。このサービスは、Oracle Web Services Manager Gateway(ゲートウェイ)で作成されたものです。
次の例は、TimeServiceのサービスIDがSID0002001であることを示しています。
Oracle Access and Identity認証スキームを使用してTimeServiceリソースを保護する手順
アクセス・システム・コンソールを起動します。
ブラウザで次のURLを入力します。
http://WebPass_hostname:port/access/oblix
WebPass_hostnameはWebPassアプリケーション・サーバーのホスト・マシンを、portはWebPassアプリケーション・サーバー・インスタンスのHTTPポート番号を指し、/access/oblixはアクセス・システム・コンソールに接続します。
Oracle Access Manager Policy Managerアプリケーションを選択し、左側のナビゲーション・ペインで「ポリシー・ドメインの作成」をクリックします。
「名前」フィールドにOracle WSMと入力し、オプションの説明を指定して、「保存」をクリックします。
リソースを追加するために、「リソース」タブをクリックし、「追加」をクリックします。
gateway/services/TimeServiceおよびgateway/services/SID0002001のURLに次の詳細を入力します。
リソース・タイプ: http
URL接頭辞: /gateway/services/TimeService
このポリシー・ドメインの認可ルールを追加するには、「認可ルール」タブをクリックし、「追加」をクリックします。
次の情報を入力し、保存します。
名前: SimpleAuthRule
有効: はい
優先を許可: いいえ
「アクセスの許可」をクリックし、次の手順を完了します。
人々: 「ユーザーの選択」をクリックして、ユーザー名で選択します。検索機能を使用して構成済のユーザーを表示し、このルールによって保護されているリソースへのアクセスを許可する各ユーザーの前の「追加」をクリックします。
ロール: 「ロール」選択ボックスで「ロールなし」を選択して、ロールに基づいてユーザーが選択されないようにするか、「すべてのユーザー」を選択して、保護されているリソースへのアクセスをすべてのユーザーに許可します。
ルール: アクセスを許可するユーザーおよびグループを指定するLDAPフィルタを入力します。
「ユーザーの選択」をクリックし、アクセス権限を付与するユーザーを追加します。
「ポリシー」をクリックし、次の情報により、TimePolicyというポリシーを作成します。
次の手順では、Oracle WSMというポリシー・ドメインを作成するためにOracle Access Manager Policy Managerを使用する方法を説明します。TimeServiceサービスを保護するためにクライアント証明書を使用する方法を示しています。
クライアント証明書認証スキームを使用してポリシーを作成する手順
アクセス・システム・コンソールを起動し、「Policy Manager」を選択します。
Policy Managerから、左側のナビゲーション・ペインの「ポリシー・ドメインの作成」をクリックします。
「名前」フィールドにOracle WSMと入力し、「保存」をクリックします。
「説明」フィールドに、ポリシー・ドメインの簡単な説明を入力します。
「リソース」タブをクリックして、次のリソースを追加します。
「デフォルト・ルール」タブをクリックし、「認証ルール」サブタブを選択して、「追加」をクリックし、ルールに名前を付けて、「クライアント証明書」認証スキームを選択します。
「認可ルール」タブをクリックし、「追加」をクリックして、次の情報を追加します。
ルールを保存します。
「アクセスの許可」サブタブをクリックし、許可されたユーザーを選択します。
「ユーザーの選択」をクリックし、アクセス権限を付与するユーザーを追加します。
「ポリシー」をクリックし、次の情報を入力してTimePolicyを作成します。
ポリシー・ルールを保存します。
作成したポリシー・ルール(TimePolicy)をクリックします。
「認証ルール」サブタブをクリックします。
後続の項では、これらの作業を詳細に説明します。
次の項では、ゲートウェイのポリシー・ステップの構成方法について説明します。
次の例は、ゲートウェイに対して、ユーザー名とパスワードのポリシー・ステップを構成する方法を示しています。
TimeServiceサービスをゲートウェイに登録します。
このサービスに対するリクエスト・パイプラインを変更し、次のステップを次の順序で含めます。
資格証明の抽出
Oracle Access Manager認証認可ステップ
ネームスペース: ネームスペースのリストを空白(空白区切り文字)で区切って入力します。
ユーザーID xpath: ユーザー名の場所を指すxpathを入力します。たとえば、wsse:Username。
パスワード xpath: パスワードのxpathを入力します。たとえば、wsse:Password。
AccessGateインストール・ディレクトリ: AccessGateのデフォルトのインストール・ディレクトリは、次のとおりです。
Microsoft Windowsでは、デフォルトのディレクトリは、C:\Program Files\Netpoint\AccessServerSDKです。
Linuxでは、デフォルトのディレクトリは、/opt/netpoint/AccessServerSDKです。
使用するAccessGateインストール・ディレクトリが異なると、これらのディレクトリ・パスも異なります。
ポリシーを保存します。
変更をコミットします。
次のサービスURL(HTTPヘッダーにユーザー名とパスワードを含む)で、リクエストをゲートウェイに送信します。
http://<host:port>/gateway/services/TimeService
ユーザー名とパスワードは、現行のOracle Access Manager認可ルールによって許可されたユーザーの1人のものです。
ポリシー・ステップが正しく構成されていると、サービスが応答します。正しく構成されていない場合は、SOAPFaultエラー・メッセージが返されます。
TimeServiceサービスをゲートウェイに登録します。
このサービスに対するリクエスト・パイプラインを変更し、次のステップを次の順序で含めます。
署名の検証
Oracle Access Manager認証認可ステップ
キーストアの場所: キーストア・ファイルの場所を入力します。
キーストア・パスワード: キーストア・ファイルのパスワードを入力します。
署名者の公開鍵の別名: 署名者の公開鍵の別名を入力します。
AccessGateインストール・ディレクトリ: 次の2つの例の最初はWindowsの場合、2番目はLinuxの場合です。
C:\Oblix\NetPoint\AccessServerSDK /Oblix/NetPoint/AccessServerSDK
使用するAccessGateインストール・ディレクトリが異なると、これらのディレクトリ・パスも異なります。
「保存」をクリックして、ポリシーを保存します。
「コミット」をクリックして、変更をコミットします。
次のURLにより、リクエストをゲートウェイに送信します。
http://<host:port>/gateway/services/TimeService
ポリシー・ステップが正しく構成されていると、サービスが応答します。正しく構成されていない場合は、SOAPFaultエラー・メッセージが返されます。
Oracle WSMシステム・ユーザー認証とエンドユーザー認証の両方をサポートするように、Active Directoryを構成できます。
Oracle WSMシステム・ユーザー認証、またはエンドユーザー認証、あるいはその両方をサポートするように、Active Directoryを構成できます。詳細は、『Oracle Web Services Manager管理者ガイド』の「Oracle Web Services Managerロールの管理」の章を参照してください。
