| Oracle® Fusion Middleware Oracle Access Manager管理者ガイド 11g リリース1(11.1.1) B62265-01 |
|
 戻る |
 次へ |
この章では、Oracle Access Manager管理コンソールでデータ・ソースを登録および管理する手順について説明します。この章の内容は次のとおりです。
この項では、本章のタスクの要件を明らかにします。本章のタスクを開始する前に、以下のトピックを確認してください。
以下のトピックにあるように、Oracle Access Manager 11gでは様々なタイプのデータを管理する必要があります。
OAM管理者およびユーザー・アイデンティティは、認証や認可中に使用するためにLDAPユーザー・アイデンティティ・ストア内に格納されます。
ユーザー・アイデンティティ・ストアは一元化されたLDAPストアで、管理者およびユーザー指向の集計データが系統だって維持管理されます。
一元化されたLDAPストアには、ユーザーおよびグループのアイデンティティ・データが格納されます。認証には基本ユーザー・アイデンティティ・ストアのみが使用できます。
OAM管理コンソール、リモート登録、WLSTのOAM 11g用カスタム管理コマンドを使用するためにサインインする管理者
OAMにより保護されたリソースにアクセスを試みるユーザー
OAM 11g管理コンソールでは、ユーザー・アイデンティティ・ストアの登録は、「システム構成」タブの「データソース」ノードの下にまとめられています。管理者は、OAM管理コンソールまたはOAM 11gのカスタムWLSTコマンドを使用して、ユーザー・アイデンティティ・ストア登録を行ったり、閲覧、変更、削除を行えます。
Oracle Fusion Middleware構成ウィザードを使用した初回のWebLogic Serverドメイン構成時に、埋込みLDAPが唯一のユーザー・アイデンティティ・ストアとして構成されます。
|
注意: 埋込みLDAPは、ユーザーが10,000人未満のときにパフォーマンスが最も良くなります。ユーザーがこれより多い場合は、別のエンタープライズLDAPサーバーを考慮してください。 |
埋込みLDAP内では、管理者グループが作成され、"weblogic"がデフォルトの管理者としてあらかじめ設定されます。
|
関連項目: 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』 部品番号 B61617-01 |
管理者はOAM 11gに複数のユーザー・アイデンティティ・ストアを定義できます。それぞれのアイデンティティ・ストアは、異なるLDAPプロバイダに依存することができます。外部のLDAPリポジトリは、ユーザー、ロール、および認証と認可の間にポリシーを評価するときに使用されるグループ・メンバーシップ情報を提供できます。エンタープライズLDAPディレクトリ・サーバーをインストールして構成した後、Oracle Access Managerサーバーとの接続性を確実にするために、管理者はそれをOAM 11gに登録する必要があります。
アイデンティティ・ストアを登録した後、管理者はそれを認証スキームのベースを形成する1つまたは複数の認証モジュールで参照できます。
|
注意: 管理者とユーザーの認証には、基本ユーザーのアイデンティティ・ストアのみが使用されます。 |
詳細については、「ユーザー・アイデンティティ・ストアの登録ページについて」を参照してください。
OAM 11gでは、OAMポリシー・データおよび(オプションで)OAMユーザー・セッション・データを格納するためにデータベースを必要とします。
ポリシー・データエースはベンダーの説明書に従ってインストールし、RCUを使用してOAM固有のスキーマで拡張すル必要があります。詳しい説明は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。Oracle Access Managerをデータベース・ポリシー・ストアの構成テンプレートとともに実行すると、OAM 11gポリシーとセッション・データを格納するデータベースが自動的に準備されます。
データベースは、Oracle WebLogic Serverドメインでの初回の構成時に、Oracle Fusion Middleware構成ウィザードを使用してOracle Access Manager 11gに対して指定されます。
|
注意: OAM 11gデプロイメントは、最大で1つのポリシーと1つのセッション・ストアを持つことができます。デフォルトでは、単一のJDBCデータ・ストアが両方に使用されます。 |
以下のデータが管理されます。
認証モジュール、スキーム、アプリケーション・ドメイン、認証および認可ポリシーを含むポリシー・データ。
分散されたメモリー内のストレージに対する永続的なバックアップとしてのセッション・データ
管理者はOAM固有のスキーマでデータベースを拡張する必要があります。
詳細については、「OAM管理コンソールを使用したデータベースの管理」を参照してください。
|
注意: 本番環境での監査データ・ストレージの推奨モードは、スタンドアロンの監査データ専用RDBMSデータベースに監査レコードを書き込むことです。これは、個別に構成された監査ストアを使用して行います。ポリシー・ストアは監査データには使用されません。 |
Oracle Access Managerには、OAM関連のシステム構成データをすべて含むXMLファイル(oam-config.xml)が用意されています。各OAMサーバーには、最新の構成XMLファイルのローカル・コピーが1つあります。
サーバーとエージェントの登録を含むOAMデプロイメント構成に加えられたすべての変更は、oam-config.xmlファイルに格納されて、自動的に各OAMサーバーに伝播されます。
|
注意: oam-config.xmlファイルは編集しないでください。変更するとデータが失われたり、データ同期化の処理中にファイルが上書きされる可能性があります。 |
高可用性環境でフェイルオーバーが構成されているかどうかに関係なく、すべてのOAMサーバーには常に最新のoam-config.xmlファイルがあります。
推奨のキーストア・フォーマットはJKS(Java KeyStore)です。Javaキーストアは水面下でOAM 11gに関連付けられ、エージェント・トラフィックおよびセッション・トークンを暗号化するために生成される暗号化セキュリティ・キーの格納に使用されます。
それぞれのOAMおよびOSSOエージェントは、他のエージェントが読むことのできない秘密鍵を持っています。
また、Oracle Coherenceベースのセッション管理トラフィックを暗号化するキーもあります。
エージェントとパートナ(アプリケーション)の登録時に、SSO Cookie(WebGatesおよびmod_osso cookieの場合はObSSOCookie)の暗号化および復号化に使用されるキーが生成されます。
表3-1は、OAM 11g、10g、OSSO 10gによって生成された暗号化キーの比較と、それぞれの格納場所を簡単に説明しています。
表3-1 キーの比較
| OAM 11g | OAM 10g | OSSO 10g | |
|---|---|---|---|
|
暗号化キー |
|
すべてのOAM WebGatesに対してグローバルで共有される秘密鍵が1つ |
|
|
キー・ストレージ |
|
ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(WebGateに対してはアクセス不可) |
|
|
注意: キー・ストアはコンソールからは使用できず、閲覧や管理、変更はできません。 |
この項では、OAM 11g管理コンソールを使用してユーザー・アイデンティティ・ストアの登録を管理する上で必要な手順を説明します。
このトピックでは、「システム構成」タブの下の様々なユーザー・アイデンティティ・ストアの設定について説明します。
図3-2は、管理コンソールの完成したユーザー・アイデンティティ・ストアの登録ページを示します。埋込みLDAPストアの例外を除いて、登録するLDAPディレクトリ・サーバーに関わらず、すべての登録で同じタイプの情報が必要です。「接続テスト」ボタンが、このページ上部に表示されます。デフォルトでは、埋込みLDAPストアが基本ユーザー・アイデンティティ・ストアとして設定されます。データ・ソースが基本に設定されない場合、「プライマリとして設定」ボタンが使用できます。
図3-2 完了したOracle Internet Directoryのユーザー・アイデンティティ・ストア登録
アスタリスク(*)は必須の設定です。表3-2は、タイプ別の各要素を示します。
図3-2 必要なユーザー・アイデンティティ・ストアの要素
| 要素 | 説明 |
|---|---|
|
名前 |
この登録の一意の名称。名称は最大30文字までを使用できます。 |
|
場所と資格証明 |
|
|
LDAP URL |
パート番号を含むLDAPホストのURL。 たとえば、デフォルトの埋込みLDAPホストは次のようになります。 ldap://localhost:7001 また、SSL_NO_AUTHをサポートするldaps://も指定できます。 |
|
プリンシパル |
接続プールのユーザーDNで、これを介して他のすべてのBINDが発生します。ユーザーおよびグループ・ベースのDNには、適切な読み取りおよび検索の権限を持つ管理者以外のユーザーをお薦めします。 例: uid=amldapuser,ou=people,o=org |
|
資格証明 |
プリンシパルのパスワードで、セキュリティのために暗号化されます。 |
|
接続詳細 |
|
|
接続プール・サイズ |
接続プールに設定された初期サイズ。 |
|
接続待機タイムアウト |
完全に利用されているプールで、接続リクエストがタイムアウトするまでの時間(秒)。 |
|
接続プールの再試行回数 |
接続の失敗があったときに、接続を再試行する回数。 |
|
最大の検索時間 |
接続プールでのLDAPの検索およびバインド処理のタイム・リミット。 デフォルト: 0 |
|
参照ポリシー |
以下の値のいずれかです:
|
|
ユーザー |
|
|
ユーザー名属性 |
ユーザー名を識別する属性。 例: uid |
|
ユーザー検索ベース |
ディレクトリ情報ツリー(DIT)のノード。この下にユーザー・データが格納され、すべてのユーザー・データ検索の最も高いベースとなります。 例: ou=people,ou=myrealm,dc=base_domain |
|
ユーザー・フィルタのオブジェクト・クラス |
ユーザー・オブジェクト・クラス名のカンマ区切りリストで、ユーザーの検索結果に含めるオブジェクト・クラス。例: userやperson |
|
グループ |
|
|
グループ名属性 |
グループ名を識別する属性。 デフォルト: cn |
|
グループ検索ベース |
現在は ディレクトリ情報ツリー(DIT)のノード。この下にグループ・データが格納され、すべてのグループ・データ検索の最も高いベースとなります。 例: ou=groups,ou=myrealm,dc=base_domain |
|
グループ・フィルタのオブジェクト・クラス |
グループ・オブジェクト・クラスのカンマ区切りリストで、グループの検索結果に含めるオブジェクト・クラス。例: groups、groupOfNamesなど。 |
|
グループ・キャッシング |
|
|
グループ・キャッシュ有効 |
グループ・キャッシュのブーリアン値: trueまたはfalse デフォルト: true |
|
グループ・キャッシュ・サイズ |
グループ・キャッシュ・サイズの整数 デフォルト: 10000 |
|
グループ・キャッシュTTL |
グループ・キャッシュ要素、存続時間の整数(秒)。 デフォルト: 0 |
|
LDAPプロバイダ |
サポートされているすべてのLDAPプロバイダのリスト。ここから選択できます。  |
|
プライマリ |
「プライマリ」は、このLDAPストアが基本ユーザー・アイデンティティ・ストアとして設定されているときのみチェックします(登録ページ上部の「プライマリとして設定」ボタンをクリック)。このオプションをチェックしても影響はありません。 |
|
OAM管理者のロール |
基本ユーザー・アイデンティティ・ストア内で定義されるグループで、ユーザーに完全なOAMシステムおよびポリシー構成の権限を付与します。 デフォルトのグループ = 管理者 注: 異なるLDAPグループを指定すると、WebLogic管理者がOAMにログインできなくなります。 関連項目: 「OAM管理者の概要」。 |
有効なOAM管理者の資格証明を持つユーザーは、この手順を利用して、管理者コンソールによりユーザー・アイデンティティ・ストアを検索できます。
前提条件
登録しようとしているユーザー・アイデンティティ・ストアが、適切なユーザーやグループ、ロールの定義とともにインストールおよび実行されている必要があります。
ユーザー・アイデンティティ・ストア登録の検索の手順
「システム構成」タブをアクティブ化します。
検索タイプのリストから、「ユーザー・アイデンティティ・ストア」タイプを選択して検索を定義します。
テキスト・フィールドに、検索するインスタンスの正確な名称を入力します。例:
my_user_identity_store
「検索」ボタンをクリックして、検索を開始します。
「検索結果」タブをクリックして結果表を表示し、以下を実行します。
編集: ツール・バーの「編集」コマンド・ボタンをクリックし、構成ページを表示します。
削除: ツール・バーの「削除」ボタンをクリックして、インスタンスを削除し、「確認」ウィンドウで削除を確認します。
デタッチ: 表を1ページ全面に展開するには、ツール・バーの「デタッチ」をクリックします。
表示: 結果表の外観を変更するには、「表示」メニューの項目を選択します。
検索結果の処理を完了してナビゲーション・ツリーに戻るには、「参照タブをクリックします。
有効なOAM管理者の資格証明を持つユーザーは、この手順を利用して、管理者コンソールにより新しいユーザー・アイデンティティ・ストアを登録できます。
アイデンティティ・ストアを登録した後、それを認証スキームのベースを形成する1つまたは複数の認証モジュールで参照できます。
前提条件
登録しようとしているユーザー・アイデンティティ・ストアが、インストールされて実行中である必要があります。
新しいユーザー・アイデンティティ・ストアの定義を登録する手順
「システム構成」タブから、ナビゲーション・ツリーで「データソース」ノードを展開します。
ユーザー・アイデンティティ・ストアをクリックします。
ツール・バーで「作成」コマンド・ボタンをクリックします。
表3-2の説明に従って、各要素に適切な値を追加します。
ロール・マッピング: ユーザー・アイデンティティ・ストア内でOAM管理者に定義されたLDAPグループの名称を入力します(表3-2)。
「適用」をクリックして、登録を送信します。
「接続テスト」ボタンをクリックして接続性を確認し、「確認」ウィンドウを閉じます。
登録ページを閉じてから、また開きます。
プライマリとして設定: このボタンをクリックして、このLDAPストアを認証や認可の基本ユーザー・アイデンティティ・ストアに設定します。
「適用」をクリックして登録を送信してから、ページを閉じます。
このストアを使用するには、1つまたは複数の認証モジュールを構成します。詳細は「認証モジュール」にあります。
有効なOAM管理者の資格証明を持つユーザーは、ユーザー・アイデンティティ・ストアの登録を変更できます。
ユーザー・アイデンティティ・ストアの閲覧または変更の手順
「システム構成」タブから、ナビゲーション・ツリーで「データソース」ノードを展開します。
「ユーザー・アイデンティティ・ストア」ノードを展開します。
希望するユーザー・アイデンティティ・ストアの登録名をダブルクリックします。
必要に応じて値を変更します(表3-2を参照)。
「適用」をクリックして、登録を更新します(または変更を適用しないでページを閉じます)。
「接続テスト」ボタンをクリックして接続性を確認し、「確認」ウィンドウを閉じます。
登録ページを閉じてから、また開きます。
プライマリとして設定: このボタンをクリックして、このLDAPストアを認証や認可の基本ユーザー・アイデンティティ・ストアに設定します。
完了したらページを閉じます。
有効なOAM管理者の資格証明を持つユーザーは、この手順を利用して、管理者コンソールによりプライマリでないユーザー・アイデンティティ・ストアの登録を削除できます。
|
注意: プライマリのユーザー・アイデンティティ・ストアの登録は削除できません。 |
セカンダリ・ユーザー・アイデンティティ・ストア登録の削除の手順
削除するストアを参照しているLDAP認証モジュールを編集します(有効なアイデンティティ・ストアが参照されているか確認するため)。
「システム構成」タブから、ナビゲーション・ツリーで「データソース」ノードを展開します。
「ユーザー・アイデンティティ・ストア」ノードを展開します。
オプション: 希望するインスタンス名をダブルクリックして、削除する対象であることを確認してから、ページを閉じます。
希望するインスタンス名をクリックしてから、ツール・バーで「削除」ボタンをクリックします。
「確認」ウィンドウで「削除」ボタンをクリックします(または「取消」をクリックしてウィンドウを閉じ、インスタンスを保持します)。
定義がナビゲーション・ツリーにないことを確認します。
デフォルトでは、OAM管理者のロールはWebLogic管理者のロール(Administrators)と同じです。ただし、OAM管理者は以下の手順を使用して、新しいOAM管理者ロールを定義できます。これは、OAM 11gのプライマリ・ユーザー・アイデンティティ・ストアに格納する必要があります。
OAM管理者ロールを変更する手順
OAMのプライマリ・ユーザー・アイデンティティ・ストアで:
OAM管理者に使用する異なるLDAPグループを定義します。
OAM管理者グループが、グループ検索のベースで使用可能なことを確認してください。
OAM管理コンソールにログインして、以下を行います。
「ユーザー・アイデンティティ・ストア登録の表示または編集」の説明に従って、希望するユーザー・アイデンティティ・ストア登録を開きます。
必要に応じて、OAM管理者ロールを変更します(表3-2を参照)。
この登録に変更を適用して、接続をテストしてからページを閉じます。
「プライマリとして設定」:登録ページを再び開いて、「「プライマリとして設定」ボタンをクリックし、「適用」をクリックします。
新しいロールのテスト: ブラウザのウィンドウを閉じてから、再び開きます。
OAM管理コンソールからサインアウトして、ブラウザ・ウィンドウを閉じます。
OAM管理者コンソールを起動して、以前のOAM管理者ロールを使用してログインを試み、これが失敗することを確認します。
新しいOAM管理者ロールを使用してログインし、この試みが成功することを確認します。
この項の内容は次のとおりです。
Oracleはポリシーとして単一のデータベースを必要とします。このデータベースは、セッション・データの格納にも使用できます。セッション・ストアとしてデータベースを使用すると、スケーラビリティと耐故障性(すべてのサーバーが停止する停電に対して)を実現できます。ポリシー・データベースとセッション・データベースを1つずつ持つことができます。
WebLogic構成ウィザードを使用した初回のデプロイメント中に、以下のデータベース詳細が要求されます。
データベース・ログインIDとパスワード
データベース・サービス名と場所
WebLogic構成ウィザードを使用すると、データベースへの接続をテストできます。また、データベースはOAMに登録されます。
基本的なスキーマの作成は、RCUが起動されたときに発生します。RCUは、OAM 11gのデータを受け入れるためにデータベースを準備します。Oracle Access Managerをデータベース・ポリシー・ストアの構成テンプレートとともに実行すると、OAM 11gポリシーとセッション・データを格納するデータベースが自動的に準備されます。実際のOAMポリシー要素は、OAM管理コンソールがデプロイされて初めてWebLogic AdminServerが起動されたときに作成されます。
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』 |
|
注意: OAMと使用するポリシー・ストアとして、1つのデータベースのみを登録できます。OAMには、ドメイン・ホームに読取り専用のoam-policy.xmlファイルが含まれています。このファイルは直接編集しないでください。変更するとデータが失われたり、データ同期化の処理中にファイルが上書きされる可能性があります。 |
Oracle Access Manager 11gには"oamDS"というデータ・ソースが含まれており、これはOAMスキーマで拡張されたデータベース・インスタンスに対して構成されます。あらかじめ定義された次のJava Naming and Directory Interface(JNDI)名が、データ・ソースを参照するためにOAMサーバーにより使用されます。
jdbc/oamds (used by both the policy layer and session layer to access database)
以下の手順を使用して、WebLogic管理コンソールを用いて個別のセッション・データのデータベース・インスタンスを作成できます。OAM管理コンソールでは、この処理はサポートされていません。
セッション・データ用に独立したデータベースを作成、使用する手順
セッション・データのデータベースをインストールおよび構成して、RCUをOAM固有のスキーマとともに使用し、セッション・データ・ストアとしてデータベースを設定します。
セッション・データに新しいデータ・ソース・インスタンスを作成します。
WebLogic管理コンソールからは、「ドメイン構造」パネルでドメイン名、「サービス」ノードを展開します。
JDBC、データ・ソースを展開します。
JNDI名jdbc/oamsessionというデータ・ソースを作成します。
変更を保存します。
次の手順でのデータ損失を防ぐために、OAMサーバーとAdminServerを停止します。
oam-config.xmlで、DataSourceName属性の値を編集して、手順1で構成したものにします。たとえば次のようになります。
domain-home/config/fmwconfig/oam-config.xml
変更前:
<Setting Name="SmeDb" Type="htf:map">
<Setting Name="URL" Type="xsd:string">jdbc:oracle:thin://amdb.example.
com:2001/AM</Setting>
<Setting Name="Principal" Type="xsd:string">amuser</Setting>
<Setting Name="Password" Type="xsd:string">password</Setting>
<Setting Name="DataSourceName" Type="xsd:string">jdbc/oamds</Setting>
</Setting>
変更後:
<Setting Name="SmeDb" Type="htf:map">
<Setting Name="URL" Type="xsd:string">jdbc:oracle:thin://amdb.example.
com:2001/AM</Setting>
<Setting Name="Principal" Type="xsd:string">amuser</Setting>
<Setting Name="Password" Type="xsd:string">password</Setting>
<Setting Name="DataSourceName" Type="xsd:string">jdbc/oamsession</Setting>
</Setting>
AdminServerとOAMサーバーを再起動します。
