| Oracle® Fusion Middleware Oracle Access Manager管理者ガイド 11g リリース1(11.1.1) B62265-01 |
|
 戻る |
 次へ |
Oracle Access Manager 11gには、パートナ登録を効率化するコマンドライン・ユーティリティが用意されています。ネットワーク内の管理者はリモート登録ツールを使用して、テンプレートでWebGateパラメータおよび値を指定できます。ネットワーク外の管理者は、ネットワーク内の管理者に情報を提供するユーティリティを使用できます。
この章では、コマンドライン・ユーティリティを使用したパートナ登録の実行に焦点を当てています。この章の内容は次のとおりです。
この章のタスクを実行する前に、OAM管理コンソールおよび管理対象OAMサーバーが実行されていることを確認します。
OAM認証および認可サービスと通信するには、サポートされているポリシー施行エージェントをOracle Access Manager 11gに登録する必要があります。パートナ・アプリケーション(認証機能をOAM SSOプロバイダに委任して複数のリソースのアクセス時のユーザーの再認証を省略するアプリケーション)も登録する必要があります。
Oracle Access Manager 11gでアプリケーションを保護するには、OAM管理コンソールに登録されるOAMエージェント(WebGate)またはOSSOエージェント(mod_osso)および特定の認証および認可ポリシーでアプリケーションを保護するために構成されるアプリケーション・ドメインが必要です。
次のコマンドライン登録機能がサポートされています。
次の管理者によるアプリケーション・ドメインのセキュアな登録および作成
帯域内の管理者(エージェントをホストするWebサーバーを管理するネットワーク内の管理者)
帯域内の管理者は、登録タスクに登録ツールまたはOracle Access Manager管理コンソールを使用できます。この章では、コマンドライン登録に焦点を当てています。
帯域外の管理者(ネットワーク外の管理者)
ネットワーク外の管理者は、登録リクエストをネットワーク内の管理者に送信する必要があります。リクエストを処理した後、帯域内の管理者は、ファイルを使用して環境を構成する帯域外の管理者に必要なファイルを戻します。
パートナ・アプリケーションごとの対称キーの生成
登録されたmod_ossoまたは11g WebGateごとに1つのキーが生成および使用されます。ただし、すべての10g WebGateに1つのキーが生成されます。
レガシー・システムと下位互換性のある以前のOracle Access Manager WebGateおよびOSSOエージェントの登録が用意されています。詳細は、Oracle Technology Networkの動作保証マトリックスを参照してください。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
次のリストの機能はサポートされていません。
キーおよびエージェント情報の永続性
Oracle Access Manager内部コンポーネントで使用されるキーの生成
エージェント情報を読み取るAPIサポート
詳細は、次の項を参照してください。
登録ツールを使用してパートナ・アプリケーションをプロビジョニングする帯域内のWebサーバーの管理者タスクの概要は、次のとおりです。リソースを保護するOAMエージェント(WebGate)またはOSSOエージェント(mod_osso)の使用の有無に関係なく、タスクは同じです。
|
注意: mod_ossoは、認証にOracleASアプリケーションを提供するOracle HTTP Serverモジュールです。ユーザーがOracleAS Single Sign-Onサーバーにログインした後、OracleAS Single Sign-Onで保護されるアプリケーションを有効化してユーザー名およびパスワードのかわりにHTTPヘッダーを受け入れるOracle HTTP Serverにこのモジュールが存在します。これらのヘッダーの値がmod_osso Cookieに格納されます。 |
mod_ossoモジュールは、パートナ・アプリケーションの統合に以前のリリースのOracleAS Single Sign-Onで使用されたシングル・サインオンSDKに置き換わります。アプリケーション・サーバーに格納されるmod_ossoは、シングル・サインオン・サーバーの唯一のパートナ・アプリケーションとして認証プロセスを簡易化します。このため、mod_ossoは、OracleASアプリケーションに透過的な認証を実現します。これらのアプリケーションの管理者は、アプリケーションをSDKに統合する負担がなくなります。ユーザーの認証後、mod_ossoは、ユーザーの認可にアプリケーションで使用される可能性のある単純なヘッダー値を送信します。
ユーザー名
ユーザーGUID(グローバル・ユーザー・アイデンティティ)
言語および地域
この概要の「管理者」という用語は、OAMに登録されるプライマリ・ユーザー・アイデンティティ・ストアのOAM管理者に指定されるLDAPグループの一部であるネットワーク内のユーザーを示します。
タスクの概要: リモート登録を実行する帯域内の管理者
Oracle Access Manager 11gリリース1(11.1.1)登録ツールを取得します(「登録ツールの取得および設定」を参照してください)。
エージェントおよびアプリケーション・ドメインの一意の値で入力ファイルを更新します(「登録リクエストの作成」を参照してください)。
登録ツールを実行してエージェントを構成し、リソースのデフォルトのアプリケーション・ドメインを作成します(「帯域内リモート登録の実行」を参照してください)。
構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証、リソース保護およびアクセスの検証」を参照してください)。
帯域外登録という用語は、帯域内および帯域外の管理者の両方の調整およびアクションを含む手動登録を示します。
タスクの概要: 帯域外リモート登録(ネットワーク外のエージェント)
帯域外の管理者は、特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。
Oracle Access Manager 11g登録ツールを取得します(「登録ツールの取得および設定」を参照してください)。
テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインの一意の値を入力します(「登録リクエストの作成」を参照してください)。
選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。
帯域内の管理者の手順
Oracle Access Manager 11g登録ツールを取得します(「登録ツールの取得および設定」を参照してください)。
登録ツールで帯域外の開始リクエストを使用してエージェントをプロビジョニングし、次のファイルを作成して帯域外の管理者に戻します。次のファイルの詳細は、「帯域内リモート登録の実行」を参照してください。
agentName_Response.xmlは帯域外の管理者用に生成され、手順3で使用されます。
WebGateエージェントには、帯域外の管理者が使用してWebGateをブートストラップできる変更されたObAccessClient.xmlファイル(および11g WebGateのcwallet.ssoファイル)が作成されます。
SSOウォレットの作成は、OAM 10gエージェントやOSSOエージェントではなくOAM 11g WebGateにのみ適用されます。
OSSOエージェントには、帯域外の管理者がOSSOモジュールをブートストラップするために変更されたosso.confファイルが作成されます。
帯域外の管理者は、agentName_Response.xmlファイルと一緒に登録ツールを使用し、エージェント構成および他の生成されたアーチファクトを適切なファイル・システム・ディレクトリにコピーします。
帯域内の管理者は、構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
帯域外の管理者は、いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証、リソース保護およびアクセスの検証」を参照してください)。
登録方式(管理コンソールおよびリモート登録)にかかわらず、各登録エージェントに対称キーがあります。
mod_ossoまたはOAMエージェントの保護の有無に関係なく、各アプリケーションに対称キーがあります。登録ツールにより、このキーが生成されます。必要に応じて取得できるように、アプリケーションのマッピング、キーおよびエージェント・タイプがシステム構成に格納されます。
キーの使用
各WebGateエージェントには、エージェントおよびOAM 11gサーバー間で共有される独自の秘密鍵があります。1つのWebGateが損なわれても、他のWebGateは影響を受けません。概要は次のとおりです。
ホストベースのWebGate固有のOAMAuthnCookie_<host:port>_<random number>を暗号化/復号化します。
WebGateおよびOAM 11gサーバー間でリダイレクトされるデータを暗号化/復号化します。
キーの生成
図6-1は、使用方式(管理コンソールおよびリモート登録)に関係なくエージェントの登録時に自動的に発生するキーの生成プロセスを示しています。エージェントごとに1つの対称キーがあります。
キーのアクセス可能性およびプロビジョニング
クライアント・マシンのセキュアなローカル・ストレージを使用して、エージェント固有の各キーを対応するWebGateでアクセス可能にする必要があります。暗号キーはデータ・ストアに格納されません。かわりに、JavaキーストアまたはCSFリポジトリのエントリの別名が格納されます。パートナおよび信頼管理APIはリクエスト時に実際のキーを取得します。エージェント固有の秘密鍵には、次の特性があります。
リモート登録中にプロビジョニングされます(帯域内モードまたは帯域外モード)。
各エージェントを一意に識別できるように一意の値が設定されます。
エージェントにセキュアに配布されます(帯域内モードのワイヤまたは帯域外モードの個別のセキュアなチャネルを使用)。
SSOウォレットのOracle Secret Storeに保存されます。SSOウォレットの作成は、OAM 10gエージェントやOSSOエージェントではなくOAM 11g WebGateにのみ適用されます。
|
注意: Oracle Secret Storeは、プレーン・テキストではないOracle Wallet内の秘密鍵および他のセキュリティ関連の秘密情報を統合するコンテナです。SSOウォレットは、基礎となるファイル・システムのセキュリティに基づいてデータを保護します。このウォレットを開く場合、パスワードは必要ありません。SSOウォレットのセキュリティは、オペレーティング・システムおよびファイル権限によって異なります。 |
パートナ登録の完了時に自動ログインの編集可能なSSOウォレットのOracle Secret Storeに保存されます。
キーの格納
エージェント・キーを含むSSOウォレットをWebGate_instance_dir/webgate/config(WebTier_Middleware_Home/Oracle_WT1/instancesなど)のObAccessClient.xmlを含むディレクトリのcwallet.ssoに格納する必要があります。
SSOウォレットにユーザー・パスワードは不要で、適切なファイル権限(700)またはWindowsのレジストリで保護する必要があります。
この項では、登録ツールの概要、要件、使用方法および結果について説明します。
ロケーション
<MiddlewareHome>/Oracle_IDM1/oam/server/rreg/
登録ツールのoamregは、<OAM_HOME>/oam/server/rreg/client/RREG.tar.gzにあります。エージェントをホストしているコンピュータのファイルを解凍した後、次のパスにツールが格納されます。
| プラットフォーム | oamregのパス |
|---|---|
| Linux | rreg/bin/oamreg.sh |
| Windows | rreg\bin\oamreg.bat |
要件
スクリプトを使用する前に、この項の説明に従ってスクリプト内に2つの環境変数を設定する必要があります。JDKホームにJDKL 1.6を参照する必要があります。
| 環境変数 | 説明 |
|---|---|
| OAM_REG_HOME | 後に/rregが付けられるRREG.tarが展開されたディレクトリ。 |
| JDK_HOME | Javaがクライアント・コンピュータに格納されているロケーション。たとえば、WLS_HOME/Middleware/jdk160_11などです。 |
また、登録リクエストのいくつかのタグを変更する必要があります。詳細は、「リモート登録リクエストについて」を参照してください。
登録管理者
ユーザーは、プライマリ・ユーザー・アイデンティティ・ストアのOAM管理者のロールに対してマップされるグループの一部になることができます。詳細は、表3-2「必要なユーザー・アイデンティティ・ストア要素」を参照してください。
リモート登録モードおよびリクエスト・ファイル
スクリプトを実行するコマンドには、次の2つの引数が必要です。
モード: inbandまたはoutofband
input/file: 入力ファイル(*request.xmlまたはagentName_Response.xml)への絶対パスまたはOAM_REG_HOMEの値への相対パス推奨する場所は、$OAM_REG_HOME/inputです。
エージェント・タイプおよび関連付けられるリクエスト・ファイル
inbandおよびoutofbandモードでは、次のようにリクエスト・ファイルと入力引数を使用します。
表6-1 リモート登録のリクエスト・ファイル
| エージェント・タイプ | リクエスト・ファイル |
|---|---|
|
10g WebGate |
$OAM_REG_HOME/input/OAMRequest_short.xml |
|
$OAM_REG_HOME/input/OAMRequest.xml |
|
|
11g WebGate |
$OAM_REG_HOME/input/OAM11GRequest.xml |
|
$OAM_REG_HOME/input/OAM11GRequest_short.xml |
|
|
OSSOエージェント(mod_osso) |
$OAM_REG_HOME/input/OSSORequest.xml |
生成されたファイル
outofbandモードで、帯域内の管理者は帯域外の管理者が送信した開始リクエスト・ファイルを使用し、追加処理のために生成されたagentName_Response.xmlファイルを帯域外の管理者に戻します。帯域外の管理者は、エージェント構成ファイルを生成する入力としてagentName_Response.xmlと一緒にリモート登録ツールを実行します。
サンプルのリモート登録コマンドおよび結果
サンプル・コマンドを表6-2に示し、ツールの場所をLinuxシステムの$OAM_REG_HOMEと仮定します。
表6-2 リモート登録のサンプル・コマンド
| コマンド・タイプ | サンプル(Linux) |
|---|---|
|
帯域内リクエストを使用する帯域内の管理者 |
./bin/oamreg.sh inband input/*Request.xml |
|
送信されたリクエストを使用する帯域内の管理者 |
./bin/oamreg.sh outofband input/starting_request.xml |
|
戻されたレスポンスを使用する帯域外の管理者 |
|
スクリプトの起動後、管理者はユーザー名およびパスワードを求められます。スクリプトの実行後、成功または失敗のメッセージが通知されます。入力ファイルおよび登録ツールを実行しているモードに基づいて、表6-3に示されている結果を予期できます。
表6-3 リモート登録の結果
| サーバー側の結果 | クライアント側の結果 |
|---|---|
|
帯域内のクライアント側の結果 エージェント固有の構成ファイルが生成され、*Request.xmlファイルの<agentName>タグに基づくディレクトリ(RREG_Home/output/agentName/など)に格納されます。生成された構成ファイルを以前のエージェント構成ファイルと置き換える必要があります。 次のいずれかを適用します。
|
|
帯域外のクライアント側の結果: 使用する入力ファイル(開始リクエストまたは生成されたagentName_Response.xmlファイル)に応じて、次の結果が発生します。
|
この項では、登録ツールと一緒に使用できる登録リクエスト・ファイルおよび共通の要素について説明します。
例6-1は、登録ツールのoamreg.sh(Linux)またはoamreg.bat(Windows)と一緒に使用するOSSO登録リクエストの更新バージョンを示しています。太字でハイライト表示されている情報をmod_ossoエージェント用に変更する必要があります。ただし、他のすべてのフィールドはデフォルト値を使用できます。
例6-1 OSSORequest.xml
...
<OSSORegRequest>
.
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>RREG_Webdomain</hostIdentifier>
<agentName>Remote_Reg_OSSO</agentName>
<agentBaseUrl>http://sample.us.oracle.com:7777</agentBaseUrl>
<oracleHomePath>$ORACLE_HOME</oracleHomePath>
<virtualHost></virtualHost>
<updateMode></updateMode>
<adminInfo></adminInfo>
<adminId></adminId>
<protectedResourcesList>
<resource>/access/resource1.html</resource>
<resource>/access/resource2.html</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/public/index.html</resource>
/<publicResourcesList>
</OSSORegRequest>
例6-2は、エージェント登録ツールのoamreg.sh(Linux)またはoamreg.bat(Windows)と一緒に使用する短いOAM登録リクエストの更新されたサンプルを示しています。OAM 10g WebGateとOAM 11g WebGateの短いOAMリモート登録リクエストの唯一の違いは、次のコンテナです。
OAMRegRequest
OAM11GRegRequest
|
注意: 短いOAMリモート登録リクエストはOAM 10g WebGateとOAM 11g WebGateでほとんど同じですが、使用しているWebGateリリースに適切なテンプレートをコピーしてください。 |
例6-2では、太字でハイライト表示されている情報のみ、環境に応じた値に変更する必要があります。このファイルの他のすべてのフィールドには、デフォルト値を使用できます。oamregを実行する場合、完全なOAMリモート登録リクエストに存在する可能性のある他のすべてのエージェント定義に対して、デフォルト値が自動的に提供されます。
例6-2 サンプルの簡易リクエスト: OAMRequest_short.xml
<OAMRegRequest>
.
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>RREG_HostId11G</hostIdentifier>
<agentName>Remote_Reg_OAM</agentName>
<protectedResourcesList>
<resource>/</resource>
<resource>/.../*</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/public/index.html</resource>
</publicResourcesList>
</OAMRegRequest>
特に指定のないかぎり、表6-4は、すべてのリクエスト・ファイル内のグローバル要素を示します。
表6-4 リモート登録リクエストに共通の要素
| 要素 | 説明 | 例 |
|---|---|---|
|
<serverAddress> |
ホストおよびポートを含むOracle Access Manager管理コンソールの実行中のインスタンスを参照します。 |
<serverAddress>http://{oam_admin_ser
ver_host}:{oam_admin_server_port}
</serverAddress>
|
|
<agentName> |
OAM(管理)サーバーのエージェントの一意の識別子を定義します。 同じサーバー・インスタンスの各エージェントに対して、同じエージェントの再登録を回避するためにこのタグを一意にする必要があります。同じサーバー・インスタンスのエージェントの再登録は、既存のエージェントを最初に削除しないとサポートされません。 |
<agentName>RREG_OAM</agentName>
|
|
<hostIdentifier> |
この識別子は、Webサーバー・ホストを表します。OAMエージェント名の値を指定すると、フィールドに自動的に入力されます。同じ名前のエージェント名またはホスト識別子がすでに存在する場合、登録中にエラーが発生します。 注意: <hostIdentifier>タグを指定する場合、環境に応じて値を変更する必要があります。登録中にデフォルト値を使用するには、<hostIdentifier>タグを省略します。 同じ名前のホスト識別子がすでに存在する場合、新しいエージェントのWebサーバーのhost:port(指定されている場合)が既存のホスト識別子に追加されます。 |
<hostIdentifier>RREG_HostId11G
</hostIdentifier>
|
|
<protectedResourcesList> |
認証スキームでOAMエージェントを保護するリソースURLを指定します。リソースURLは、agentBaseUrlの相対パスにする必要があります。 |
<protectedResourcesList>
<resource>/</resource>
<resource>/.../*</resource>
</protectedResourcesList>
|
|
<publicResourcesList> |
公開する(OAMエージェントで保護されない)リソースURLを指定します。リソースURLは、agentBaseUrlの相対パスにする必要があります。たとえば、アプリケーションのホームページまたはようこそページを指定できます。 |
<publicResourcesList>
<resource>/public/index.html
</resource>
</publicResourcesList>
|
表6-5は、OSSO固有のリモート登録要素を示しています。
表6-5 リモート登録リクエストのOSSO固有の要素
| 要素 | 説明 | 例 |
|---|---|---|
|
<OracleHomePath> |
mod_ossoエージェントへのファイル・システム・ディレクトリの絶対パス。 |
<oracleHomePath> $ORACLE_HOME </oracleHomePath> |
|
<virtualHost> |
デフォルト: 指定なし |
<virtualHost></virtualHost> |
|
<updateMode> |
デフォルト: 指定なし |
<updateMode></updateMode> |
|
<adminInfo> |
このmod_ossoインスタンスのオプションの管理者詳細。たとえば、アプリケーション管理者などです。 デフォルト: 指定なし> |
<adminInfo></adminInfo> |
|
<adminInfo> |
このmod_ossoインスタンスのIDのオプションの管理者ログ。たとえば、SiteAdminなどです。 デフォルト: 指定なし> |
<adminId></adminId> |
表6-6は、表6-4の短いバージョンのリクエストに含まれる情報に加えて、完全なOAMリモート登録リクエストの個々の要素の情報を示しています。
OAM11gRequest.xml(11g WebGate)
OAMRequest.xml(10g WebGate)
|
注意: 特に指定のないかぎり、各要素が10gおよび11g WebGateリクエストに表示されます。要素名は、コンソールの要素名と多少異なる場合があります。 |
表6-6 完全なリモート登録リクエストに共通の要素
| 要素 | 説明 | 例 |
|---|---|---|
|
<agentBaseUrl> |
エージェントで保護するコンピュータのWebサーバーのhost:portを定義します。保護するすべてのURLがhttp://host:portのように指定する必要があるこのベースURLと相対的になります。 注意: 各agentBaseUrlを一度だけ登録できます。エージェントのベースURLからWebGateがインストールされるWebサーバー・ドメイン(<hostIdentifier>要素で指定)への1対1マッピングが存在します。ただし、指定されたドメインからエージェントのベースURLへの1対多マッピングが存在します(1つのドメインに複数のエージェントのベースURLを使用できます)。 |
<agentBaseUrl>http://{web_server_
host):(web_server_port}
</agentBaseUrl>
|
|
<applicationDomain> |
指定されたエージェント名に基づくアプリケーション・ドメインの名前を定義します(表6-4を参照してください)。 |
<applicationDomain>RREG_OAM11G </applicationDomain> |
|
<autoCreatePolicy> |
エージェントの登録中、自動的に作成された認証および認可ポリシーを使用できます。デフォルトで、このオプションが選択(有効化)されます。 デフォルト: true(有効) 注意: ドメインおよびポリシーをすでに登録している場合、新しいリソースを追加できます。このオプションを消去(選択解除)すると、アプリケーション・ドメインまたはポリシーが自動的に生成されません。 |
<autoCreatePolicy>true </autoCreatePolicy> |
|
<primaryCookieDomain> 10gリクエストのみ OAMRequest.xml(10g WebGate用)では、推奨するHTTPポートとして<hostIdentifier>も使用されます。 |
acompany.comなどのOAM 10gエージェントがデプロイされるWebサーバー・ドメイン(クライアント・ドメイン)を示します。 Cookieドメインを構成して、Webサーバー間のシングル・サインオンを有効にする必要があります。具体的には、シングル・サインオンを構成するWebサーバーに同じプライマリCookieドメイン値を使用する必要があります。OAMエージェントは、このパラメータを使用してObSSOCookie認証Cookieを作成します。 このパラメータは、Cookieドメインに参加してObSSOCookieを受信および更新する機能を持つWebサーバーを定義します。このCookieドメインはObSSOCookieの移入に使用されず、ObSSOCookieの有効なドメインおよびObSSOCookieの内容を承認および変更する機能を持つWebサーバーを定義します。 デフォルト: 登録中にクライアント側のドメインを決定できる場合、プライマリCookieドメインがその値で移入されます。ただし、ドメインが見つからない場合、値が存在しないのでWebGateはホストベースのCookieを使用します。 注意: ドメイン名が一般的なほど、シングル・サインオンの実装が包括的になります。たとえば、プライマリCookieドメインにb.comを指定すると、ユーザーはb.comおよびa.b.comのリソースのシングル・サインオンを実行できます。ただし、プライマリCookieドメインにa.b.comを指定すると、ユーザーはb.comのリソースのリクエスト時に再認証を行う必要があります。 |
<primaryCookieDomain>{client_domain}
</primaryCookieDomain>
|
|
<maxCacheElems> |
キャッシュに保持される要素の数。キャッシュ要素は次のとおりです。 この設定の値は、これらの両方のキャッシュの要素の統合された最大数を示します。 デフォルト = 100000 |
<maxCacheElems>100000 </maxCacheElems> |
|
<cacheTimeout> |
キャッシュされた情報が使用および参照されない場合にOAMエージェント・キャッシュに保持される時間。 デフォルト = 1800(秒) |
<cacheTimeout>1800</cacheTimeout> |
|
<tokenValidityPeriod> 11gリクエストのみ |
エージェント・トークン(11g WebGateのOAMAuthnCookieの内容)の有効な最大時間。 デフォルト = 3600(秒) |
<tokenValidityPeriod>3600 </tokenValidityPeriod> |
|
<cookieSessionTime> 10gリクエストのみ |
アクティビティに関係なくユーザーの認証セッションが有効な秒単位の最大時間。このセッション時間の終了時に、ユーザーは再認証を要求されます。これは強制ログアウトになります。 デフォルト = 3600(秒) 0(ゼロ)を指定すると、このタイムアウト設定が無効になります。 |
<cookieSessionTime>3600 </cookieSessionTime> |
|
<maxConnections> |
このOAMエージェントとOAMサーバーで確立できる接続の最大数。この数値は、このエージェントに実際に関連付けられる接続の数以上にする必要があります。 デフォルト = 1 |
<maxConnections>1</maxConnections> |
|
<maxSessionTime> |
WebGateおよびOAMサーバー間の接続に使用される時間単位の最大期間。 デフォルト = 24(時間) 0(ゼロ)を指定すると、このタイムアウト設定が無効になります。 |
<maxSessionTime>24</maxSessionTime> |
|
<ssoServerVersion> |
SSOトークン・バージョン値。
|
<ssoServerVersion> >...</ssoServerVersion> > |
|
<idleSessionTimeout> 10gリクエストのみ |
アクセス・ゲートで保護されたリソースにアクセスしないでユーザーの認証セッションを保持する秒単位の時間。 デフォルト = 3600 0(ゼロ)を指定すると、このタイムアウト設定が無効になります。 |
<idleSessionTimeout>3600> </idleSessionTimeout |
|
<failoverThreshold> |
このOAMエージェントがセカンダリOAMサーバーの接続を開くポイントを表す数値。 デフォルト = 1 たとえば、このフィールドに30と入力し、プライマリOAMサーバーの接続数が29の場合、このOAMエージェントはセカンダリOAMサーバーの接続を開きます。 |
<failoverThreshold>1 </failoverThreshold> |
|
<aaaTimeoutThreshold>- |
OAMサーバーからのレスポンスを待機する数値(秒単位)。このパラメータが設定されると、デフォルトのTCP/IPタイムアウトではなくアプリケーションのTCP/IPタイムアウトとして使用されます。 デフォルト = -1(デフォルトのネットワークのTCP/IPタイムアウトが使用されます) このパラメータの一般的な値は、30〜60秒です。非常に低い値を設定すると、アクセス・サーバーからリプライを受け取る前にソケット接続がクローズしてエラーが発生する可能性があります。 WaitForFailoverパラメータおよびaaaTimeoutThresholdには、同じ値を使用する必要があります。 関連項目: このパラメータの詳細は、表5-6を参照してください。 |
<aaaTimeoutThreshold>-1 </aaaTimeoutThreshold> |
|
<sleepFor> |
アクセス・サーバーでディレクトリ・サーバーとの接続を確認する頻度。たとえば、60秒の値を設定すると、アクセス・サーバーが起動してから60秒間隔で接続を確認します。 |
<sleepFor>60</sleepFor> |
|
<debug> |
デバッグをオンまたはオフにします。 デフォルト: false(オフ) |
<debug>false</debug> |
|
<セキュリティ> |
エージェントおよびOAMサーバー間の通信トランスポート・セキュリティのレベル(OAMサーバーに指定されたレベルと一致する必要があります) 注意: 詳細は、付録Eを参照してください。 |
<security>open</security |
|
<denyOnNotProtected> |
ルールまたはポリシーでアクセスが明示的に許可されないすべてのリソースのアクセスを拒否します。 11g WebGate登録では常に有効で変更できません。 10g WebGate登録ページで、これを無効にできます。 有効な場合、匿名認証方式を作成して、匿名アクセス・ポリシーを使用した内容へのアクセスを許可する必要があります。 |
<denyOnNotProtected>1 </denyOnNotProtected> |
|
<cachePragmaHeader> <cacheControlHeader> |
これらの設定はWebGateにのみ適用され、ブラウザのキャッシュを制御します。 デフォルトでは、CachePragmaHeaderおよびCacheControlHeaderがno-cacheに設定されます。これにより、WebGateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 ただし、サイトがWebGateで保護されている場合、PDFファイルのダウンロードやレポート・ファイルの保存などの特定の操作が実行できないことがあります。 WebGateが異なるレベルで使用するAccess Manager SDKキャッシュを設定できます。詳細は、http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlの14.9項を参照してください。 すべてのcache-response-directiveが許可されます。たとえば、両方のキャッシュ値をパブリックに設定してPDFファイルのダウンロードを許可する必要がある場合があります。 |
<cachePragmaHeader>no-cache </cachePragmaHeader> <cacheControlHeader>no-cache </cacheControlHeader> |
|
IPアドレス検証はWebGateに固有のもので、シングル・サインオン用に生成されるObSSOCookie(10g WebGate)またはOAMAuthnCookie(11g WebGate)に格納されるIPアドレスとクライアントのIPアドレスを同じにするかどうか決定するために使用されます。 |
<ipValidation>0</ipValidation> |
|
|
<logOutUrls> |
ログアウトURLは、Cookie(10g WebGate用のObSSOCookie、11g WebGate用のOAMAuthnCookie)を削除してOracle Access Managerで保護されたリソースに次にアクセスするときにユーザーの再認証が必要になる ログアウト・ハンドラを起動します。
注意: これは、最初のログアウトの起動に使用される標準のOAM 10g WebGate構成パラメータです。 関連項目: OAM 11gに登録されるOAM 10g WebGateのログアウトを構成する手順は、第11章を参照してください。 |
<logOutUrls>
<url>/logout1.html</url>
<url>/logout2.html</url>
</logOutUrls>
|
|
<logoutCallbackUrl> 11gリクエストのみ |
コールバック中にCookieを消去するoam_logout_successのURL。これには、OAMサーバーが元のリソース・リクエストのhost:portをコールバックする場合のhost:portを使用しないURI形式(推奨)を指定できます。次に例を示します。 /oam_logout_success これには、OAM 11gサーバーがコールバックURLを再構築しないで直接コールバックする場合のhost:portを使用する完全なURL形式も指定できます。 関連項目: OAM 11g WebGateのログアウトを構成する手順は、第11章を参照してください。 |
<logoutCallbackUrl>/oam_logout_success </logoutCallbackUrl> |
|
<logoutTargetUrlParamName> 11gリクエストのみ |
ログアウト中にOPSSアプリケーションがWebGateに渡す問合せパラメータの名前の値。問合せパラメータには、ログアウトの完了後のランディング・ページのターゲットURLを指定します。 デフォルト: end_url 注意: jps-config.xmlのparam.logout.targeturlによって、end_url値が構成されます。 関連項目: OAM 11g WebGateのログアウトを構成する手順は、第11章を参照してください。 |
<logoutTargetUrlParamName>end_url </logoutTargetUrlParamName> |
|
ユーザー定義パラメータ |
リモート登録リクエスト・ファイルの構成にのみ、次のユーザー定義パラメータを使用できます。 注意: 各パラメータに1つの値のみ使用できます。OAM管理コンソールを使用してユーザー定義パラメータを設定できません。 |
<userDefinedParameters>
<userDefinedParam>
<name>...</name>
<value>...</value>
</userDefinedParam>
|
|
MaxPostDataLength |
POSTデータの長さを決定します。 100未満の値を設定しないことをお薦めします。デフォルトまたは指定された範囲を超える値をこのパラメータに設定すると、POSTデータの長さがデフォルト・サイズの0.75MBに制限されます。 デフォルト: 750000 関連項目: WebGateのIIS Webサーバーの構成の詳細は、第19章を参照してください。 |
<name>MaxPostDataLength</name> <value>750000</value> |
|
maxSessionTimeUnits |
一部のファイアウォールは、特定の期間またはアイドル時間にOAMサーバー接続を強制的に切断します。ファイアウォールのタイムアウト設定を変更できない場合、 デフォルト: hours 使用可能な値: minutes |
<name>maxSessionTimeUnits</name> <value>hours</value> |
|
RetainDownstreamPostData |
このユーザー定義パラメータを追加して値を デフォルト: false |
<name>RetainDownstreamPostData </name> <value>false</value> |
|
useIISBuiltinAuthentication |
エージェントがインストールされているOAMサーバーでMicrosoft Passportまたは統合Windows認証を使用している場合にのみ、trueに設定します。IISにのみ使用され、WebGateが別のタイプのWebサーバーにインストールされる場合は無視されます。 デフォルト: false |
<name>useIISBuiltinAuthentication </name> <value>false</value> |
|
idleSessionTimeoutLogic 10g WebGateのみ |
リリース7.0.4のWebGateは、独自のアイドル・セッション・タイムアウトのみを適用しました。 10.1.4.0.1のWebGateでは、トークンがアクセスしたすべてのWebGateで最も制限されているタイムアウト値を適用しました。 10g(10.1.4.3)では、この要素のデフォルトが7.0.4の動作に戻りました。 idleSessionTimeoutLogicを設定するには、次の手順を実行します。
|
name>idleSessionTimeoutLogic </name> <value>leastComponentIdleTimeout </value> |
|
URLInUTF8Format |
Oracle HTTP Server 2を使用する環境では、このパラメータをtrueに設定してラテン1および他のキャラクタ・セットを表示する必要があります。 デフォルト: true |
<name>URLInUTF8Format</name> <value>true</value> |
|
inactiveReconfigPeriod 共有シークレットは、10g WebGateにのみ適用されます。 構成は、11g WebGateにのみ適用されます。 |
アイドル状態で、WebGateは、InactiveReconfigPeriod値を使用してOAMサーバーから共有シークレット(構成)を読み取ります。この値が設定されていない場合、更新された共有シークレット(構成)の値が10分後に戻されますが、WebGateは、1分間隔で共有シークレット(構成)の値についてOAMサーバーをポーリングします。 デフォルト: 10(分) |
<name>inactiveReconfigPeriod</name> <value>10</value> |
|
WaitForFailover 10g WebGateのみ |
NetPoint 5.xシステムと下位互換性のある場合のみ使用されます。このパラメータはaaaTimeoutThresholdに置き換えられています。 WaitForFailoverパラメータおよびaaaTimeoutThresholdパラメータは、WebGateおよびOAMサーバー間のTCP/IPタイムアウトを制御します。デフォルト値は、ネットワークのデフォルトのTCP/IPタイムアウト値が使用されることを示す「-1」です。 WaitForFailoverパラメータおよびaaaTimeoutThresholdには、同じ値を使用する必要があります。 |
<name>WaitForFailover</name> <value>-1</value> |
|
proxySSLHeaderVar |
WebGateがリバース プロキシの背後に配置される場合、このパラメータが使用されます。クライアントとリバース・プロキシの間にSSLが構成され、リバース・プロキシとWebサーバーの間にSSL以外が構成されます。これにより、httpではなくhttpsとしてURLが格納されます。プロキシは、SSLまたはSSL以外のクライアント接続を処理しているかどうかを示すカスタム・ヘッダー変数を設定して、URLをhttps形式で格納します。ProxySSLHeaderVarパラメータの値は、プロキシを設定する必要があるヘッダー変数の名前を定義します。ヘッダー変数の値を「ssl」または「nonssl」にする必要があります。ヘッダー変数が設定されていない場合、現在のWebサーバーのSSL状態によってSSL状態が決定されます。 デフォルト: IS_SSL |
<name>proxySSLHeaderVar</name> <value>IS_SSL</value> |
|
client_request_retry_attempts |
WebGateとOAMサーバーのタイムアウトしきい値は、接続不可能とみなして新しい接続のリクエストを試みるまでのWebGateがOAMサーバーを待機する時間(秒単位)を指定します。 これは、10gおよび11g WebGate(OAMエージェント)とOAM 11gの接続で同じです。 OAMサーバーでリクエストの処理に要する時間が、タイムアウトしきい値の値よりも長い場合、OAMエージェントはリクエストを中止して新しい接続のリクエストを再試行します。 接続プール設定によっては、接続プールから戻される新しい接続が同じOAMサーバーの接続になる場合があります。OAMエージェントは、使用可能な場合にプライマリOAMサーバーを最初に試行し、使用可能な場合にセカンダリOAMサーバーを次に試行します。 また、他のOAMサーバーでは、タイムアウトしきい値で指定された時間よりもリクエストの処理時間が多く必要になる場合があります。場合によっては、OAMサーバーが停止するまで、OAMエージェントがリクエストを再試行することがあります。 OAMエージェントがclient_request_retry_attemptsパラメータを使用して応答しないサーバーに実行する再試行の回数の制限を構成できます。 値を-1に設定する(または何も設定しない)と、再試行が無制限に許可されます。 |
<name>client_request_retry_attempts </name> <value>1</value> |
|
ContentLengthFor401Response |
すべての401レスポンスのContent-Lengthを設定するには、次のユーザー定義パラメータおよび値を追加します。 ゼロ(0)は、使用できる唯一の値です。他の値は無視されます。このパラメータおよび値を使用しないと、コンテンツおよびコンテンツ長が一致しないことがあります。これにより、ブラウザにデータが表示されない場合やエラー・メッセージが表示される場合があります。 |
<name>ContentLengthFor401Response </name> <value>0</value> |
|
SUN61HttpProtocolVersion |
SUN v6.1 Webサーバーでは、POSTデータを読み取った後にリダイレクトの問題が発生する場合があります。接続にkeepAlive(HTTP/1.1)プロトコルを使用すると、データが適切にフラッシュされません。したがって、リダイレクトが正常に動作しない場合があります。
デフォルト: 1.0 1.0以外の値は無視されます。 |
<name>SUN61HttpProtocolVersion </name> <value>1.0</value> |
|
impersonationCredentials |
デフォルト: cred |
<name>impersonationCredentials< /name> <value>cred</value> |
|
UseWebGateExtForPassthrough |
このIIS Webサーバー固有のパラメータは、ワーカー・プロセス分離モードのIIS v6およびv7でのみ使用されます。 デフォルト: false ワーカー・プロセス分離モードで実行しているIISバージョン6.xおよびIIS 7.xでは、次の場合に値をtrueに設定します。
注意: ISAPIフィルタとして構成する以外に、ISAPI拡張機能としてwebgate.dllを構成する必要もあります。第19章「10g WebGateのIIS Webサーバーの構成」を参照してください。 また、IIS 5.0分離モードで実行されているIIS 5.0またはIIS6.0の場合、このパラメータを定義しないでください(またはfalseに設定してください)。この場合、postgate.dllをISAPIフィルタとして構成し、パススルー機能を実行する必要があります。詳細は、「POSTデータのパススルー機能の有効化」を参照してください。 |
<name>UseWebGateExtForPassthrough </name> <value>false</value> |
|
syncOperationMode |
デフォルト: false |
<name>syncOperationMode</name> <value>false</value> |
|
filterOAMAuthnCookie 11gリクエストのみ |
trueに設定すると、OAMAuthnCookieが常にフィルタ処理され、ダウンストリーム・アプリケーションにアクセスできなくなります。 デフォルト: true |
<name>filterOAMAuthnCookie</name> <value>true</value> |
リクエストされた操作の実行後、帯域内の管理者は、追加処理のために次のファイルを帯域外の管理者に送信します。
帯域外の管理者がそのまま使用する必要があるagentName_Response.xml。
agentName_Response.xmlを開いたり編集したりしないことが推奨されているため、表示されません。
帯域外の管理者がWebサーバーの更新に使用する必要がある固有のWebサーバー構成ファイル。
オペレーティング・システムのoamregスクリプトを取得および更新するには、次の手順を使用できます。
Windows: oamreg.bat
Linux: oamreg.sh
登録する特定のエージェントの入力を提供する適切な*Request*.xmlファイルを更新します。
リモート登録には、JAVA_HOMEおよびOAM_REG_HOMの2つの変数が必要です(表6-7を参照してください)。
表6-7 リモート登録に必要な変数
| ロケーション | 変数 | 説明 |
|---|---|---|
|
クライアント側 |
JDK_HOME |
環境にすでに設定されている$JAVA_HOMEに基づくコンピュータのJava 1.6の場所。 |
|
OAM_REG_HOME |
ユーザーがスクリプトで明示的に設定する必要があるRREG.tar/rregに展開されたディレクトリ。 |
|
|
RREG.tar.gzに対するrregフォルダの場所。 |
JDK_HOME |
環境にすでに設定されている$JAVA_HOMEに基づきます。 |
|
OAM_REG_HOME |
インストール中にスクリプトにすでに設定されています。 |
ツールを取得して環境のスクリプトを更新するには、次の手順を実行します。
次のパスのRREG.tar.gzファイルを探します。
WLS_home/Middleware/domain_home/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを解凍します。
rreg/bin/oamregのoamregスクリプトで、JAVA_HOME環境変数をJDK 1.6に設定します(表6-7を参照してください)。
oamregスクリプトで、OAM_REG_HOME環境変数を環境に基づくexploded_dir_for_RREG.tar/rreg変数に設定します(クライアント側またはサーバー側、表6-7を参照してください)。
「登録リクエストの作成」に進みます。
登録する特定のエージェントの入力を提供する適切な*Request*.xmlファイルを作成するには、次の手順を使用できます。
登録リクエストを作成するには、次の手順を実行します。
この項では、帯域内リモート登録の実行に使用できる手順を説明します。
前提条件
ネットワーク内のリモート登録を実行するには、次の手順を使用できます。
|
注意: この場合、ネットワーク内の管理者は、すべてのタスクを実行します。リソースを保護するOAMエージェント(WebGate)またはOSSOエージェント(mod_osso)の使用の有無に関係なく、タスクは同じです。 |
この例は、Linuxシステムの短い登録リクエストを使用したOAMエージェントの登録を示しています。または、OAM管理コンソールを使用してエージェントを登録し、アプリケーション・ドメインを追加できます(第5章および第9章を参照してください)。
帯域内リモート登録を実行するには、次の手順を実行します。
エージェントをホストしているコンピュータで、登録コマンドを実行し、入力ファイルとして独自の*Request*.xmlを指定します。次に例を示します。
./bin/oamreg.sh inband input/myagent_request.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 画面のメッセージを確認します。
帯域内登録プロセスが正常に完了しました。
固有の構成ファイルの場所が出力フォルダに作成されます。
出力フォルダは、RREG.tar.gzが展開されている場所(/rreg/output/AgentName/)にあります。
出力フォルダのエージェント用に作成した固有の構成ファイルのObAccessClient.xmlを確認し、まだ置換されていない場合は以前のエージェント構成ファイルを置換します。
エージェント登録を完了します。このエージェント登録を完了するには、次の手順を実行します。
ObAccessClient.xmlをOAMエージェントのホスト・コンピュータにコピーして、WebGate構成を手動で更新します。
10g WebGate: $WG_install_dir/oblix/lib/ObAccessClient.xml
11g WebGate: $WebGate_instance_dir/webgate/config(cwallet.ssoも含む)、次に例を示します。
config/OHS/ohs1/webgate/config
OAMエージェントをホストしている管理対象サーバーを再起動します。
「リモート登録およびリソース保護の検証」に進みます。
この項では、ネットワーク内外の管理者が連携してリモート・エージェントを登録し、デフォルトのアプリケーション・ドメインを設定してリソースを保護する手順を説明します。
前提条件
|
注意: この場合、帯域内の管理者および帯域外の管理者は、異なるタスクを実行します。エージェント・タイプ(OAMエージェントまたはOSSOエージェント(mod_osso))にかかわらず、タスクは同じです。 |
次の手順は、LinuxシステムのみにOAMエージェントを登録する手順を示しています。
帯域内は、ネットワーク内のWebサーバー管理者が実行するタスクを示します。
帯域外は、ネットワーク外のWebサーバー管理者が実行するタスクを示します。
帯域外リモート登録を実行するには、次の手順を実行します。
帯域外の管理者: starting_request.xmlファイルを作成して、処理するために帯域内の管理者に送信します(「登録リクエストの作成」を参照してください)。
WLS_Home/Middleware/Oracle_IDM1/oam/server/rreg/client/rreg/output/agentName/starting_request.xml
帯域内の管理者の手順
登録コマンドを実行し、入力ファイルとして帯域外の管理者のstarting_request.xmlを指定します。次に例を示します。
./bin/oamreg.sh outofband input/starting_request.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 登録プロセスが正常に完了しました。
Response.xmlの場所が入力フォルダに作成されます。
入力フォルダは、RREG.tar.gzが展開されている場所(/rreg/input/AgentName/)にあります。
他のアーチファクトとともにagentName_Response.xmlファイルを帯域外の管理者に戻します。次に例を示します。
agentName_Response.xml
帯域外の管理者: 次のように環境を更新します。
エージェントをホストしているコンピュータで、リモート登録コマンドを実行し、入力ファイルとして受け取ったagentName_Response.xmlを指定します。次に例を示します。
./bin/oamreg.sh outofband input/agentName_Response.xml
ObAccessClient.xmlおよびcwallet.sso(11gエージェント用)が出力フォルダ/rreg/output/AgentName/に生成されます。
ObAccessClient.xmlをOAMエージェントのホスト・コンピュータにコピーして、WebGate構成を手動で更新します。
10g WebGate: $WG_install_dir/oblix/lib/ObAccessClient.xml
11g WebGate: $WebGate_instance_dir/webgate/config(cwallet.ssoも含む)。次に例を示します。
config/OHS/ohs1/webgate/config
OAMエージェントをホストしているWebサーバーを再起動します。
「リモート登録およびリソース保護の検証」に進みます。
この項の内容は次のとおりです。
エージェント・タイプに関係なくエージェントおよびアプリケーションの登録を検証するガイドとして、次の手順を使用できます。
OAM管理コンソールを使用してタスクを実行するには、帯域内の管理者である必要があります。帯域外の管理者は、リモートの認証およびアクセスをテストする必要があります。
エージェントおよびアプリケーション登録を検証するには、次の手順を実行します。
エージェント登録: OAM管理コンソールの「システム構成」タブのエージェント詳細を確認します(第5章を参照してください)。
OAMエージェント: WebGateとOAMサーバー間の通信をブートストラップするために変更されたObAccessClient.xmlがWebGateインストール・ディレクトリにあることを確認します。
WebGate_install_dir\access\
OSSOエージェント: 変更されたosso.confがエージェントのWebサーバーと同じディレクトリにあることを確認します。これを使用して、OSSOエージェントとOAMサーバー間の通信をブートストラップします。
共有コンポーネント、ホスト識別子: ホスト識別子がOAM管理コンソールに定義されていることを確認します。
アプリケーション・ドメイン: 「ポリシー構成」タブで、登録されたエージェントに基づいて名付けられた新しいデフォルトのアプリケーション・ドメインがあることを確認します。
アプリケーション・ドメインのリソースは、ホスト識別子に関連付けられます。
登録後、管理サーバーまたは管理対象サーバーを再起動することなく適切な認証とともに保護されたリソースにアクセスできる必要があります。
ここでの手順は、登録、認証および認可が適切に構成および動作していることを確認するいくつかの方法を示しています。手順は、OAMエージェント(WebGate)およびOSSOエージェント(mod_osso)でほとんど同じです。
帯域外の管理者がこれらの検証を行うことをお薦めします。
登録後に認証およびアクセスを確認するには、次の手順を実行します。
登録されたOAMエージェントで保護されたアプリケーションのURLを入力して、ログイン・ページが表示されていることを確認します(認証リダイレクトURLが適切に指定されたことが証明されます)。次に例を示します。
http://myWebserverHost.us.abc.com:8100/resource1.html
ログイン・ページで、求められた場合に有効なユーザー名およびパスワードを入力し、「ログイン」をクリックします。
OAM固有のCookieがブラウザ・セッションに作成されていることを確認します。次に例を示します。
ObSSOCookie
Set-Cookie: ObSSOCookie=GGVEuvjmrMe%2FhbItbjT24CBmJo1eCIfDIwQ1atdGdnY4mt6kmdSekSFeAAFvFrZZZ xDfvpkfS3ZLZFbaZU2rAn0YYUM3JUWVYkYFwB%2BBK7V4x%2FeuYHj%2B8gwOyxhNYFna3iSx1MSZBE y51KTBfsDYOiw6R%2BCxUhOO8uZDTYHI3s0c7AQSyrEiQTuUV3nv1omaFZlk1GuZa4J7ycaGbIUyqwX rM0cKuBJNd6sX1LiRj9HofYQsvUV7ToqeAOpDS7z9qs5LhqU5Vq60bBn12DTX6zNX6Lcc0L5tVwvh7% 2BnOAkz2%2BoDkLs%2BBTkeGcB3ppgC9;httponly; path=/; domain=.us.oracle.com;
OAM_ID Cookie
Set-Cookie: OAM_ID=v1.0~0~E1EBBC9846E09857060A68E79AEEB608~AA79FC43C695162B6CDE3738F40E94DA 6408D58B879AC3B467EBBD4800743C899843672B3511141FFABCF58B2CDCB700C83CC734A913625 7C4ABDA6913C9EF5A4E05C5D03D3514F2FECACD02F1C1B9314D76B4A68CB7A8BE42AEB09AFB98B8 EB; path=/; HttpOnly
次に進みます。
成功: 正しく認証され、リソースへのアクセスが付与された場合、構成が正常に動作します。詳細な検証については、手順5〜12に進みます。
失敗: ログイン中にエラーを受け取った場合またはリソースへのアクセスが拒否された場合、次の項目を確認します。
ログイン・エラー: 有効なユーザーIDおよびパスワードが入力されていることを確認します。
使用不能なリソース: リソースが使用できることを確認します。
不正なリダイレクトURL: OAM管理コンソールのリダイレクトURLを確認します。
ユーザー・バリエーション: ユーザー・バリエーションで手順1〜4を再実行して、適切な動作(認可ユーザーの成功または未認可ユーザーの失敗)を確認します。
リクエストの取消し: 部分的なログインを実行し、「取消」をクリックしてリソースにアクセスしていないことを確認します。
変更された認証URL: 手順1〜5を実行して適切なレスポンスを確認する場合、ほとんど同じ認証URLを入力します。たとえば、1文字をURL文字列に追加します。
更新されたリソース: 次の手順を実行して、リソースにアクセスできることを確認します。次に例を示します。
元のリソース: /abc/test.html
更新されたリソース: /abc/xyz/test.html
Oracle WebLogic Serverを再起動しない場合
更新されたリソースにアクセスし、ユーザーが認証を求められ、リソースにアクセスできることを確認します。
元のリソースにアクセスし、リソースにアクセス可能で、ユーザーが認証を求められていないことを確認します。
様々なURLパターン: 手順1〜5を実行する場合、様々なURLパターンの認証を確認します。
新しい認証スキーム: 次の手順を実行して、WebLogic Serverを再起動しないで認証操作を確認します。
異なる認証スキームを使用する新しい認証ポリシーを追加します。
新しいポリシーを使用して、リソースを保護します。
Oracle WebLogic Serverを再起動しないで、手順1〜4を実行します。
CGIリソース・ヘッダー変数およびCookie: 次の手順を実行して、WebLogic Serverを再起動しないで認証操作を確認します。
新しい認証ポリシーを追加してCommon Gateway Interface(CGI)リソースを保護し、「認証に成功しました」のレスポンスを設定します。
新しいポリシーを使用して、リソースを保護します。
CGIリソースにアクセスします。
CGIデータ・ダンプでレスポンスに対して構成されたヘッダー値を確認します。
エージェントの無効化: WebGateがObAccessClient.xmlで無効な場合、次の手順を実行して、アクセス可能性および認証を検証します(WebGateは、oam-config.xmlから有効な値を選択する必要があります)。
エージェント(OAMエージェント(WebGate)またはOSSOエージェント(mod_osso))を無効化します。WebサーバーおよびOAMサーバーを起動します。OAMエージェントで保護されたアプリケーションにアクセスして、認証が求められていることを確認します。
