第 6 章 対象の管理

「対象」インタフェースにより、レルム内部で基本的なアイデンティティー管理を行うことができます。「対象」インタフェースで作成するすべてのアイデンティティーは、Access Manager アイデンティティー対象タイプを使って作成されるポリシーに対する対象定義で使用できます。

作成および変更できるアイデンティティーには、次のものがあります。

• 「ユーザー」

• 「エージェントプロファイル」

• 「フィルタを適用したロール」

• 「ロール」

• 「グループ」

ユーザー

ユーザーは、個人のアイデンティティーを表現します。グループ内でユーザーを作成および削除できます。また、ロールやグループにユーザーを追加したり、ロールやグループからユーザーを削除することができます。サービスをユーザーに割り当てることもできます。

ユーザーを作成または変更する

1. 「ユーザー」タブをクリックします。

2. 「新規」をクリックします。

3. 次のフィールドのデータを入力します。

   「ユーザー ID」: このフィールドには、ユーザーが Access Manager へログインするために使用する名前を指定します。このプロパティーは、DN 以外の値になることがあります。

   「名」:このフィールドには、ユーザーの名 (ファーストネーム) を指定します。

   「姓」: このフィールドには、ユーザーの姓 (ラストネーム) を指定します。

   「フルネーム」: このフィールドには、ユーザーのフルネームを指定します。

   「パスワード」: — このフィールドには、「ユーザー ID」フィールドで指定した名前のパスワードを指定します。

   「パスワード (確認)」: 確認のためにパスワードを再入力します。

   「ユーザー状態」: このオプションは、ユーザーが Access Manager 経由の認証を許可されるかどうかを示します。

4. 「了解」をクリックします。

5. ユーザーの作成後は、ユーザーの名前をクリックすることによってユーザー情報を編集できます。ユーザー属性の詳細については、「ユーザー属性」を参照してください。実行できるその他の変更には、次のものがあります。

   • 「ユーザーを作成または変更する」

   • 「ロールおよびグループにユーザーを追加する」

   • 「サービスをアイデンティティーに追加する」

ロールおよびグループにユーザーを追加する

1. 変更するユーザーの名前をクリックします。

2. 「ロール」または「グループ」を選択します。ユーザーにすでに割り当てられているロールおよびグループだけが表示されます。

3. 「利用可能」リストからロールまたはグループを選択して「追加」をクリックします。

4. ロールまたはグループが「選択」リストに表示されたら、「保存」をクリックします。

サービスをアイデンティティーに追加する

1. サービスを追加するアイデンティティーを選択します。

2. 「サービス」タブをクリックします。

3. 「追加」をクリックします。

4. 選択したアイデンティティータイプに応じて、次のサービスのリストが表示されます。

   • 認証設定

   • ディスカバリサービス

   • Liberty 個人プロファイルサービス

   • セッション

   • ユーザー

5. 追加するサービスを選択して「次へ」をクリックします。

6. サービスの属性を編集します。サービスの説明を見るには、ステップ 4 でサービス名をクリックします。

7. 「終了」をクリックします。

エージェントプロファイル

Access Manager ポリシーエージェントは、Web サーバーおよび Web プロキシサーバー上のコンテンツを無許可の侵入から保護します。管理者が設定したポリシーに基づいてサービスおよび Web リソースへのアクセスを制御します。

エージェントオブジェクトは、ポリシーエージェントプロファイルを定義します。また、Access Manager リソースを保護している特定のエージェントの認証情報やその他のプロファイル情報を Access Manager で保存できるようにします。Access Manager コンソールを使用して、管理者はエージェントプロファイルを表示、作成、変更、および削除できます。

エージェントオブジェクト作成ページは、エージェントが Access Manager の認証を受ける UID およびパスワードを定義できる場所です。同一の Access Manager を使用して複数の Web コンテナを設定した場合は、これにより、異なるエージェントに対して複数の ID を有効にすることができ、Access Manager から独立してそれらの ID を有効にしたり無効にしたりできます。また、マシンごとに AMAgent.properties を編集するのではなく、エージェントの設定値によっては集中的に管理することもできます。

エージェントを作成または変更する

1. 「エージェント」タブをクリックします。

2. 「新規」をクリックします。

3. 次のフィールドの値を入力します。

   「名前」: エージェントの名前またはアイデンティティーを入力します。この名前を使用してエージェントは Access Manager にログインします。名前に複数バイト文字を含めることはできません。

   「パスワード」: エージェントのパスワードを入力します。このパスワードは、LDAP 認証時にエージェントが使用するパスワードとは異なっている必要があります。

   「パスワードを確認」: パスワードを確認します。

   「デバイスの状態」: エージェントのデバイスの状態を入力します。「アクティブ」に設定されている場合、エージェントは Access Manager に対して認証および通信を行うことができます。「非アクティブ」に設定されている場合、エージェントは Access Manager に対して認証を行うことができません。

4. 「了解」をクリックします。

5. エージェントを作成したあとで、さらに次のフィールドを編集できます。

   「説明」: エージェントの簡単な説明を入力します。たとえば、エージェントインスタンス名またはそれが保護しているアプリケーションの名前を入力できます。

   「エージェントキー値」: キーと値のペアでエージェントのプロパティーを設定します。このプロパティーは、ユーザーに関する資格表明の要求をエージェントから受け付けるために Access Manager によって使用されます。現時点では 1 つのプロパティーだけが有効であり、その他のプロパティーはすべて無視されます。次の書式で入力します。

   agentRootURL=protocol:// hostname:port/

   正確に入力する必要があり、agentRootURL では大文字と小文字を区別します。

   protocol

   使用するプロトコルを表します。HTTP と HTTPS のいずれかです。

   hostname

   エージェントがインストールされているマシンのホスト名を表します。このマシンには、エージェントが保護するリソースも格納されます。

   port

   エージェントがインストールされているポート番号を表します。エージェントは、このポートで受信トラフィックを待機し、ホスト上のリソースにアクセスするための要求をすべて遮断します。

Cookie ハイジャックから保護するための Access Manager の設定

Cookie ハイジャックは、詐称者 (おそらく信頼できないアプリケーションを使用するハッカー) が Cookie に未承認でアクセスしている状況を表します。ハイジャックされた Cookie がセッション Cookie である場合は、システムの設定方法によっては、Cookie ハイジャックにより、保護された Web リソースに未承認でアクセスするおそれが増す可能性があります。

Sun のドキュメントには、「Access Management Deployment でのセッション Cookie ハイジャックに対する予防措置」というタイトルのテクニカルノートがあり、セッション Cookie ハイジャック関連のセキュリティー上の脅威に対する予防措置に関する情報が記述されています。次のドキュメントを参照してください。

『Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment』

フィルタを適用したロール

フィルタロールは、LDAP フィルタを使用して作成される動的なロールです。ユーザーはすべてフィルタを通してまとめられ、ロールの作成時にそのロールに割り当てられます。フィルタはエントリの属性と値のペア (ca=user* など) を検索して、その属性を含むユーザーをロールに自動的に割り当てます。

フィルタロールを作成する

1. ナビゲーション区画で、ロールを作成する組織に移動します。

2. 「新規」をクリックします。

3. フィルタロールの名前を入力します。

4. 検索条件を入力します。

   例を示します。

   (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

   フィルタを空白のままにすると、次のロールが作成されます。

   (objectclass = inetorgperson)

5. 「了解」をクリックして、フィルタ条件に基づく検索を開始します。フィルタ条件によって定義されたアイデンティティーは、ロールに自動的に割り当てられます。

6. フィルタロールが作成されたら、ロールの名前をクリックして、そのロールに属するユーザーを表示します。「サービス」タブをクリックして、ロールにサービスを追加することもできます。

ロール

ロールのメンバーは、ロールを所有する LDAP エントリです。ロール自体の基準は、属性を持つ LDAP エントリとして定義されます。このエントリは、エントリの識別名 (DN) 属性で特定されます。ロールが作成されたら、サービスとユーザーを手動で追加できます。

ロールを作成または変更する

1. 「ロール」タブをクリックします。

2. 「ロール」リストで「新規」をクリックします。

3. ロールの名前を入力します。

4. 「了解」をクリックします。

ユーザーをロールまたはグループに追加する

1. ユーザーを追加するロールまたはグループの名前をクリックします。

2. 「ユーザー」タブをクリックします。

3. 追加するユーザーを「利用可能」リストから選択して「追加」をクリックします。

4. ユーザーが「選択」リストに表示されたら、「保存」をクリックします。

グループ

グループは、共通の職務、特徴、または興味を持つユーザーの集合を表現します。通常、このグループには関連付けられた権限はありません。グループは、組織内および管理されているほかのグループ内という、2 つのレベルに存在できます。

グループを作成または変更する

1. 「グループ」タブをクリックします。

2. 「グループ」リストから「新規」をクリックします。

3. グループの名前を入力します。

4. 「了解」をクリックします。

   グループを作成したら、グループ名、「ユーザー」タブの順にクリックして、ユーザーをグループに追加できます。