| Oracle® Fusion Middleware Oracle Access Manager管理者ガイド 11g リリース1(11.1.1) B62265-01 |
|
 戻る |
 次へ |
この章には、Oracle Access Manager 11gの大まかな概要と管理タスクの説明、詳細が記載された本書の章へのリンクが含まれます。この章は以下のセクションで構成されます。
このマニュアルでは、管理者がOAM 11gのコンポーネントやポリシーを1つ以上のWebLogic管理ドメイン内で管理する上で役立つ情報を提供しています。
各WebLogic Serverのドメインは、論理的に関連するOracle WebLogic Serverリソースのグループです。WebLogic管理ドメインには、Administration Serverという特殊なOracle WebLogic Serverインスタンスが含まれています。このドメインは通常、管理対象サーバーという追加のOracle WebLogic Serverインスタンスを含み、WebアプリケーションとWebサービスがここにデプロイされます。
このマニュアルの情報は、管理者が情報を迅速に見つけられるように、次の主要な部分にグループ化されています。
第I部、概要と開始
第II部、OAM 11gシステム管理
第III部、シングル・サインオン、ポリシー、およびテスト
第IV部、セッション管理およびライフ・サイクル管理
第V部、ロギングおよび監査
第VI部、OAMのパフォーマンスのモニタリング
第VIII部、付録
この項では、このガイドの第I部の情報を紹介し、次のトピックについて説明します。
OAM管理タスクは、日常的なシステム管理と定期的なシステム管理、ポリシーの作成と管理、セッション管理、診断およびトラブルシューティングを中心に区別することができます。最初は管理者の定義に使用するLDAPグループは、OAMとWebLogicで同じです。当初はOAM管理コンソールとWebLogic Server管理コンソールの両方のログインに、同じ資格証明が使用されます。OAM管理者のLDAPグループは変更可能です。
Oracle Access ManagerとOracle Identity Managementは、Oracle Fusion Middleware 11gのコンポーネントです。Oracle Fusion Middlewareは、Java EEから開発者用ツール、統合サービス、ビジネス・インテリジェンス、コラボレーションまで広範なツールとサービスを網羅する、標準に基づいたソフトウェア製品のコレクションです。Oracle Fusion Middlewareは、開発とデプロイメント、管理を全面的にサポートします。
Oracle Access Managerの詳細については、以下のトピックを参照してください。
シングル・サインオン(SSO)は、ユーザーやユーザーのグループが認証の後に複数のアプリケーションにアクセスできるようにします。SSOによって、複数のサインオン・リクエストが不要になります。Oracle Access Manager 11gは、Oracle Fusion Middleware 11gのシングル・サインオンのソリューションです。Oracle Access Manager 11gはこのマニュアルに記載されているとおり独立して動作するほか、認証プロバイダを使用しても動作します。この詳細については、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』で説明しています。
Oracle Access Manager 11gはJavaプラットフォームのEnterprise Edition(Java EE)に基づいた、エンタープライズ・レベルのセキュリティ・アプリケーションで、機密情報へのアクセスを制限したり、認証や認可のサービスを一元化します。Oracle Identity Managementスタックの既存のアクセス技術はすべて、Oracle Access Manager 11gにまとめられています。
Webサーバー、アプリケーション・サーバー、または他のサード・パーティ・アプリケーションは、エージェントとしてOracle Access Managerに登録されたWebGateまたはmod_ossoインスタンスで保護する必要があります。エージェントはHTTPリクエストのフィルタとして機能します。Oracle Access Managerを使用して、管理者は認証および許可のポリシーを定義できます。
|
注意: WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。AccessGatesは、Web以外のアプリケーションで使用するためにAccess Manager SDKを使用して作成されたカスタムのアクセス・クライアントです。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。 |
Oracle Access Manager 11gは、シングル・サインオン(SSO)、認証、許可、その他のサービスを、リソースを保護する登録されたエージェント(組合せは任意)に提供します。エージェントには以下が含まれます。
OAM 11g WebGates
OAM 10g WebGates
IDMドメイン・エージェント
OSSOエージェント(10g mod_osso)
OAM 11gや現在Oracle ADF SecurityおよびOPSS SSOフレームワークを使用する任意のWebアプリケーションと統合することもできます。詳細については、付録Cを参照してください。
Oracle Access Manager 11gとOracle Access Manager 10gの重要な違いについては、「Oracle Access Manager 11gの機能拡張」を参照してください。
Oracle Access Manager 11gには、Oracle Access Manager 10gにはなかった重要な機能拡張がいくつか含まれています。これらの機能拡張の一覧は、表1-1にあります。
表1-1 Oracle Access Manager 11gの機能拡張
| Oracle Access Manager 11gの新機能 |
|---|
|
|
OracleAS 10g SSOパートナ・アプリケーション、OSSO 10gで保護されたアプリケーションおよびOAM 10g WebGateで保護されたアプリケーションでのシングル・サインオンの組込みサポート。第III部を参照してください。 エージェントごとの共有秘密鍵は、cookieの暗号化と復号化をエージェントに移すことによりセキュリティとパフォーマンスを向上させます。第5章を参照してください。 |
|
ユーザーおよびグループ情報の埋込みLDAPについては、第3章で説明しています。 ポリシーのデータベース・ストレージを可能にするOracle Entitlement Server MicroSMとの統合。第3章を参照してください。 |
|
|
OAM 10g Access Testerは新しいOAM 11g Access Testerに置き換えられ、Oracle Access Managerポリシーの評価が簡単になりました。第10章を参照してください。 |
|
セッション管理機能については、第12章で説明しています。
|
|
イベントは、基礎となるOracle Fusion Middleware共通監査フレームワークを使用して監査することができます。これについては、第14章で説明しています。 |
|
Windowsのネイティブ認証は、OSSOエージェントまたはOAMエージェントにより保護されたアプリケーションでサポートされています。詳細については、Oracle Fusion Middleware統合ガイド for Oracle Access Managerを参照してください。 |
Oracle Access Manager 10gには、Oracle Access Manager 11gに含まれていない機能がいくつかあります。表1-2に概要を示します。
表1-2 Oracle Access Manager 11gで使用できない機能
| 使用不可またはサポートされていない機能 |
|---|
|
カスタマイズの作成に必要な拡張性フレームワーク |
|
アプリケーション・ドメイン・レベルで委任された管理 |
|
複雑なポリシー構成(複数のルールのAND、ORセマンティク) |
|
暗号化のサポート |
|
LDAPフィルタに基づく認可およびレスポンスの計算 |
|
mod_ossoで保護されたリソースの認可 |
|
Oracle Fusion Middleware Identity Managerに置き換わったもの: アイデンティティ・サーバー、WebPass、アイデンティティ・システム・コンソール、ユーザー・マネージャ、グループ・マネージャ、組織マネージャ |
Oracle Fusion Middleware Supported System Configurationsのドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity Management 11gに関連するサード・パーティ製品の動作保証の情報があります。Oracle Fusion Middleware Supported System Configurationsのドキュメントは、Oracle Technology Network(OTN)Webサイトで検索すれば見ることができます。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
インストールの後、新しいWebLogic Serverドメインまたは既存のWebLogic ServerドメインでOracle Access Managerを構成できます。Oracle Fusion Middleware構成ウィザードを使用して、以下のコンポーネントが新しいドメインにデプロイされます。
WebLogic管理サーバー
WebLogic管理サーバー(OAM管理サーバー、または単にAdminServerということもあります)上にデプロイされたOracle Access Managerコンソール
Oracle Access Managerの管理対象サーバー
管理対象サーバーにデプロイされたアプリケーション
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』 |
OracleAS 10g SSOのデプロイメントは、Oracle Access Manager 11g SSOを使用するようにアップグレードできます。OAM 11gでOSSOエージェントをアップグレードしてプロビジョニングした後は、認証はOAM 11g認証ポリシーに基づきます。ただし、OAMエージェント(WebGates/AccessGates)のみがOAM 11g認可ポリシーを使用します。そのうちに、アップグレードされた環境にあるすべてのmod_ossoエージェントは、WebGatesと置換してOAM 11g認可ポリシーを使用できるようにする必要があります。
アップグレード後の共存環境の詳細については、以下を参照してください。
『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』
『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』(B56245-01)
管理者は以下を使用します。
OAM管理コンソールを使用して、OAMシステム構成、セキュリティ要素、ポリシーを登録および管理します。
OAM 11g管理コンソールおよび最も一般的な機能、タスクの概要は、第2章「OAM 管理およびナビゲーション・スタート・ガイド」を参照してください。
|
注意: カスタム管理コマンドライン・ツール(WebLogicスクリプト・ツール、別名WLST)は、このガイドで該当する場合に記載された特定の機能セットについて、OAM管理コンソールに代わる手段です。 |
WebLogic Server管理コンソールを使用して、WebLogic Serverドメイン内のデプロイされたOAMサーバーのサーバー構成サマリー(クラスタ、マシン、ステート、状態、リスナー・ポート)を参照したり、これらのサーバー上でSSLの起動、再開、一時停止、停止、または再起動を行います。
WebLogic Serverの管理コンソールの詳細については、Oracle Fusion Middleware管理者ガイドを参照してください。
コマンドライン入力のためのカスタムOAM WebLogicスクリプト・ツール
エージェントおよびアプリケーション・ドメインを登録するリモート登録ツール
この項では、このガイドの第II部の情報を紹介し、次のトピックについて説明します。
「データ・ソース」という用語はJava Database Connectivity(JDBC)のもので、Oracle Access Managerにおいてユーザー・アイデンティティ・ストアのコレクションまたはポリシーのデータベースを指すときに使用します。
Oracle Access Manager 11gは、通常エンタープライズにインストールされるデータ・ソースのタイプをいくつかサポートしています。各データ・ソースは、様々な情報タイプのストレージ・コンテナです。
|
注意: Oracle Access Manager構成データは、XMLファイルoam_config.xmlに格納されます。変更にはOAM管理コンソールかWebLogicスクリプト・ツール(WLST)コマンドを使用することをお薦めします。このファイルは編集しないでください。 |
ユーザーが保護されたリソースにアクセスを試みるときに認証を有効にするには(また、許可の際に許可を受けたユーザーのみがリソースにアクセスできるようにするには)、データ・ソースをOracle Access Manager 11gに登録する必要があります。
データ・ソースは、初回のデプロイメント・プロセス(『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載)中にインストールしてOAM 11gに登録する必要があります。
ユーザー・アイデンティティ・ストア: 一元化されたLDAPストレージで、ユーザー指向の集計データが系統だって維持管理されます。
|
注意: Oracle Access Manager 11gにはアイデンティティ・サービスは含まれず、ネイティブのユーザーやグループ、ロール・ストアはありません。 |
デフォルトでは、OAM 11gはWebLogic Serverドメインの埋込みLDAPをユーザー・アイデンティティ・ストアとして使用します。ただし、数多くの他の外部LDAPリポジトリをユーザー・アイデンティティ・ストアとして登録することも可能です。
データベース: コンテンツのアクセスや管理、更新が簡単となるように、整理されて格納された情報のコレクション。
ポリシー・ストア: OAM 11gポリシー・データは、OAM固有のスキーマで機能拡張されたデータベースに格納し、Oracle Access Manager 11gに登録する必要があります。
セッション・ストア: デフォルトでは、OAMセッション・データはポリシー・ストア(データベース)に移行されたメモリー内のキャッシュに格納されます。また、第3章に説明するように、セッション・データに個別のデータベースを持つこともできます。セッションの詳細については、第12章を参照してください。
監査ストア: 監査データは、ファイルまたは個別のデータベース(ポリシー・ストアのデータベース以外)に格納できます。監査の詳細については、第14章を参照してください。
JavaキーストアはOAM 11gに関連付けられ、エージェント・トラフィックおよびセッション・トークンを暗号化するために生成されるセキュリティ・キーの格納に使用されます。それぞれのOAMおよびOSSOエージェントは、他のエージェントが読むことのできない秘密鍵を持っています。また、Oracle Coherenceベースのセッション管理トラフィックを暗号化するキーもあります。ただし、キーストアは不可視であり、管理や変更はできません。
|
注意: キーのパスワードは資格証明ストアに格納されます。 |
Oracle Access Manager内では、アイデンティティ・ストアの詳細はOracle Access Managerの管理コンソールから管理(登録、表示、変更または削除)できます。詳細は、第3章「データ・ソースの管理」を参照してください。
OAMサーバーは、OAMリリース10gではアクセス・サーバーという名前でした。OAMサーバーは、Oracle WebLogic管理対象サーバー上にデプロイされたOracle Access Manager 11gの実行時インスタンスを提供します。登録されたエージェントは、OAMサーバーと通信します。
|
注意: 管理者はWebLogic Serverのドメインを拡張して、必要があればOAMサーバーを追加できます。これについては、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』で説明しています。 |
OAM管理コンソールは、OAMリリース10gではポリシー・マネージャという名前でした。OAM 11g管理コンソールはJava EEアプリケーションで、WebLogic管理サーバーと同じコンピュータにインストールして実行する必要があります。WebLogic管理サーバーで実行する他の重要なアプリケーションには、WebLogic Server管理コンソールとFusion Middleware Control用のEnterprise Managerがあります。
|
注意: OAM管理コンソールは、OAM管理サーバーと呼ばれることもあります。ただし、これはWebLogic管理対象サーバー上にデプロイされたOAMサーバーと同類ではありません。 |
いくつかのグローバル設定は、すべてのOAMサーバーで共有されており、これはOAM管理コンソールを使用して管理できます。
SSOエンジンについては、「シングル・サインオン」で説明しています。
セッション管理については、「セッション管理」で説明しています。
監査については、「コンポーネント・イベント・メッセージのロギング」で説明しています。
Oracle Coherenceの設定は、すべてのOAMサーバーで共有されえいます。これについては、
簡易モードまたは証明書モードの通信でのOAMプロキシ詳細は、「共通OAMプロキシの簡易および証明書モードのセキュリティ管理」で説明しています。
OAM管理コンソールを使用して、第4章「OAMサーバー登録の管理」にあるようにサーバーの登録を管理できます。
|
注意: 以下のいずれかを使用してOAMサーバーの実行時に新しい管理対象サーバー・インスタンスを追加できます。
最後の2つの方法では、OAM管理コンソールに表示されるOAMサーバー・インスタンスが自動的に登録されます。他に何もする必要はありません。 |
Oracle Access Manager 11gサーバーは、様々なポリシー強制エージェントと互換性があります。詳細は、「ポリシー強制エージェント」を参照してください。
ポリシー強制エージェントは、アクセス・クライアントとして機能する任意のフロントエンドのエンティティで、エンタープライズ・アプリケーション全体でシングル・サインオンを可能にします。
保護されたリソースへのアクセスを安全にするには、Webサーバーやアプリケーション・サーバー、サード・パーティアプリケーションを登録済みのポリシー強制エージェントに関連付ける必要があります。エージェントはHTTPリクエストのフィルタとして機能し、アプリケーションが存在するWebサーバーをホストするコンピュータ上にインストールする必要があります。
個々のエージェントは、エージェントとOAMサーバー間で必要な信頼を設定するためにOracle Access Manager 11gに登録する必要があります。登録されたエージェントは、認証タスクをOAMサーバーに委任します。
Oracle Access Manager 11gは、以下のタイプのエージェントをサポートします(組合せは任意)。
OAMエージェント: WebGateはエージェントのタイプです。アクセス・クライアントとして機能する、Webサーバーのプラグインです。WebGateはWebリソースのHTTPリクエストを捕捉し、それを認証および認可のためにOAMサーバーに転送します。
WebGate 11g: 個別にインストールする必要があります。OAM 11gに登録された後、WebGatesは直接Oracle Access Manager 11gサービスと通信します。プロキシは使用されません。
WebGate 10g: 個別にインストールする必要があります。Oracle Access Manager 11gに登録された後、OAM 10g WebGatesはブリッジとして機能するJava EEベースのOAMプロキシを通じてOAM 11gサービスと通信します。
IDMドメイン・エージェント: このJavaエージェントは、設定なしにインストールおよび登録されて、Identity ManagementドメインでリソースにSSOによる保護を提供します。また、エージェントのoamsso_logoutアプリケーションが構成されて、WebLogic(およびOAM)のAdminServerとすべての管理対象サーバーにデプロイされます。IDMDomainAgentは、OAM 11gポリシーを強制するためにOAM 10gエージェントとして実行されます。
AccessGate 10g: AccessGateは、Access Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントです。AccessGatesは、WebリソースとWeb以外のリソースを保護できます。
OSSOエージェント(mod_osso 10g): Oracle Access Managerに登録された後、OSSO 10gエージェントはOSSOプロキシを介して直接Oracle Access Manager 11gサービスと通信します。
OSSOプロキシは、OAM 11gにアップグレードする際に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをOracle Access Manager 11g認証サービスのプロトコルに変換します。
以下の方法とツールを使用して、エージェントをOracle Access Manager 11gに登録できます。
OAM管理コンソール: 第5章の説明のとおりに、OAMおよびOSSOエージェント登録の登録と管理を行います。
リモート登録: 第6章の説明のとおりに、Oracle提供のコマンドライン・ツールを使用します。
既存の10g OAMまたはOSSOデプロイメントからは、以下のことを行えます。
この項では、このガイドの第IIIの情報を紹介し、次のトピックについて説明します。
シングル・サインオン(SSO)は、ユーザーが一度の認証で複数の保護されたリソース(Webページやアプリケーション)にアクセスできるようにするプロセスです。
Oracle Access Manager 11gは、パートナ・ネットワークのIdentity Federationやサービス指向アーキテクチャ(SOA)のようなSSOアーキテクチャをひとつにまとめます。Oracle Access Manager 11gは、複数のプロトコルで一貫したサービスを提供する共通のSSOエンジンを介して、シングル・サインオン(SSO)を提供します。
認証タスクをOracle Access Manager 11gに委任するには、エージェントが依存する相手とともに存在し、Oracle Access Manager 11gに登録されている必要があります。エージェントを登録すると、エージェントとOracle Access Manager 11g SSOとの間で必要な信頼メカニズムが設定されます。
|
注意: Oracle Access Manager 11g管理コンソールおよびWebLogicコンテナにデプロイされた他のOracle Identity Managementコンソールのシングル・サインオンは、事前登録されたIDMドメイン・エージェントと付随するアプリケーション・ドメインを使用して有効化されます。コンソールに他の構成は必要ありません。 |
シングル・サインオンは、様々な方法で実装できます。
シングル・ネットワーク・ドメインSSO: OAM 11gのシングル・サインオンを、単一のネットワーク・ドメイン(たとえばmycompany.comなど)内のリソースに設定できます。これには、単一のネットワーク・ドメイン内にある複数のWebLogic管理ドメインに属するリソースの保護が含まれます。
複数のネットワーク・ドメインSSO: OAM 11gでは、これは標準の機能です。11g WebGatesが独占的に使用される場合、システム内のすべてのcookieはホスト・ベースです。ただし、すべてのドメインを管理する必要があります。一部のドメインが外部のエンティティ(OAMデプロイメントの一部でないもの)により制御される場合、Oracle Identity Federationを使用することをお薦めします。詳細は、Oracle Fusion Middleware管理者ガイド for Oracle Identity Federationを参照してください。
複数のWebLogic ServerドメインSSO: WebLogic Serverインスタンスの基本的な管理の単位は、ドメインとして知られています。様々なシステム管理者の責任、アプリケーションの境界、またはWebLogicサーバーの地理的な場所に基づいて、複数のWebLogic管理ドメインを定義することができます。ただし、クラスタ内のすべての管理対象サーバーが同じWebLogic Serverドメインに存在する必要があります。
混在するリリース・エージェントを持つSSO: Oracle Access Manager 11gは登録されたOAM 11gおよびOAM 10gエージェント、OSSOエージェント(mod_osso 10g)をシームレスにサポートします。これらは任意の組合せで使用できます。
Oracle Access Manager 11gポリシー・モデルは、アプリケーション・ドメインのコンテキスト内で認証と認可の両方のサービスを提供します。
|
注意: Oracle Access Manager 10gは、ポリシー・ドメインのコンテキスト内で認証と認可のサービスを提供します。OracleAS SSO 10gは、認証のみを提供します。 |
Oracle Access Manager 11gポリシー・モデルでは、以下のコンポーネントが共有され、どんなアプリケーション・ドメイン内でも構成して使用することができます。
リソース・タイプ: 保護するリソースのタイプと関連の動作を定義します。デフォルトのリソース・タイプはHTTPです。ただし、管理者はアプリケーション・ドメイン内の特定のリソースに適用可能なhttp以外のリソース・タイプを定義できます。アクセス・テスターは、HTTPリソースについてのみポリシーの強制を評価するときに使用できます。
ホスト識別子: 管理者が指定の定義内にすべての可能なホスト名のバリエーションを含められるようにして、Webサーバー・ホストの識別を簡略化します。リソースをアプリケーション・ドメインに追加する際、管理者は指定された定義のいずれかを選択してからリソースのURLを指定できます。
仮想Webホスティング: 単一のサーバーでユニークなサブディレクトリに解決する複数のドメイン名とIPアドレスのサポートを有効にします。同じホストが、複数のNICカード(IPベース)または同じIPに解決する複数の名前(たとえば、abc.comとdef.com)に基づいて、サービスを受ける複数のサイトを持つことができます。
認証スキーム: 認証レベル、チャレンジ・メソッド、リダイレクトURL、基底にある認証モジュールを識別して、ユーザー認証を実行します。認証ポリシーをアプリケーション・ドメインに追加する際、管理者は指定のリソースとともに使用する指定された認証スキームのいずれかと、成功および失敗のURLを選択することができます。
ポリシー・モデルと共有コンポーネントの詳細については、第8章「ポリシー・コンポーネントの管理」を参照してください。
アプリケーション・ドメインは、Oracle Access Manager 11gポリシー・モデルの最上位の構築物です。各アプリケーション・ドメインは、リソースまたはリソース・セット、および誰が特定のリソースにアクセスできるかを記述する関連のポリシーの論理的なコンテナとなります。特定の共有コンポーネントは、それぞれのアプリケーション・ドメイン内で使用されます。この説明は「OAMポリシー・モデルおよび共有ポリシー・コンポーネント」にあります。
|
注意: セキュリティを強化するため、OAM 11gのデフォルトの動作は、リソースがアクセスを明示的に許可するポリシーによって保護されていない場合に、アクセスを拒否します。対照的に、OAM 10gのデフォルトの動作は、リソースがアクセスを明示的に却下するルールやポリシーによって保護されていないときに、アクセスを許可していました。OAM 10gは、ポリシー・ドメインのコンテキスト内で認証と認可を提供していました。対照的に、OracleAS SSO 10gは認証のみを提供します。 |
各Oracle Access Manager 11gアプリケーション・ドメインには以下の要素が含まれます。
リソース
アプリケーション・ドメインの各リソース定義には、リソース・タイプ、ホスト識別子(HTTPリソースの場合のみ)、特定のリソースへのURLが必要です。アプリケーション・ドメインには必要なだけリソース定義を持つことができます。
認証ポリシーおよび特定のリソースへのレスポンス
それぞれの認証ポリシーには、一意の名前、ひとつの認証スキーム、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソース、認証が成功した後に適用される管理者が定義したレスポンスが含まれます。
認可ポリシー、制約、および特定のリソースへのレスポンス
それぞれの認可ポリシーには、一意の名前、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソースが含まれます。さらに、管理者は認可が成功するために満たされなければならない特定の制約(条件)と、認可が成功した後で適用されるレスポンスを定義できます。
|
注意: OAM 10gは、管理者が定義した認可条件式(1つまたは複数の認可ルールを含む)の評価に応じて、認可アクションがとられるようにします。 |
ポリシー・モデルおよびアプリケーション・ドメインの詳細については、第9章「リソースの保護およびSSOの有効化ポリシーの管理」を参照してください。
Oracle Access Manager 11gは、ユーザー・セッションに単一のログアウト(グローバル・ログアウト)を提供します。OAMでは、単一のログアウトはアクティブなユーザー・セッションを終了するプロセスを指します。
詳細は、第11章「OAM 11gの一元化されたログアウトの構成」を参照してください。
オラクル社は、OAM 10gアクセス・テスターの機能に代わる移植可能なスタンドアロンのJavaアプリケーションを提供します。OAM 11gアクセス・テスターは、OAMサーバーに接続する登録済みのエージェントをシミュレーションします。スクリプトによる実行では、コマンドライン処理が可能です。スクリプトを記録および再生して、様々な機能の出力を取得できます。暗号化された接続および複数のサーバー接続がサポートされています。
アクセス・テスターを使用して、サーバー接続のエージェントのトラブルシューティングを行えます。このほか、リクエストおよびレスポンスのセマンティクとアクセス・ポリシーの設計のオンザフライでのテストも可能です。
詳細は、第10章「アクセス・テスターを使用した接続性およびポリシーの検証」を参照してください。
このマニュアルの第IV部では、セッション管理について説明します。
OAM 11gの場合、セッション管理とは、ユーザーまたは管理者が発端となったイベントやタイムアウトに基づくイベントをサポートすることでユーザー・セッションの情報を管理するプロセスを指します。
管理者は、Oracle Access Manager 11gセッションのライフサイクル設定を構成できます。セッション・ストレージのデータベースは、まずOracle Access Manager構成を使用して構成されます。
メモリー内のセッション・ストア: Oracle Coherenceの埋込み技術を使用して、分散されたキャッシュに低データ・アクセスの待機時間を提供し、分散されたキャッシュ(およびデータベース・ポリシー・ストア)間でデータを透過的に移動します。
データベース・セッション・ストア: 非常に大きなデプロイメント(数十万の同時ログイン)のための、耐故障性とスケーラビリティを提供します。この場合、OAM固有のスキーマを使用して拡張されたデータベース・ポリシーおよびセッション・データ・ストアを使用する必要があります。
詳細は、第12章「セッションの管理」を参照してください。
この項では、このガイドの第V部の情報を紹介し、次のトピックについて説明します。
ロギングは、重要なコンポーネント・イベントを取得するためにコンポーネントがファイルにメッセージを書き込むメカニズムです。それぞれのOracle Access Managerコンポーネント・インスタンスは、プロセスとステートの情報をログ・ファイルに書き込みます。
ロギングを構成して、様々な詳細レベルで情報を提供できます。たとえば、エラー、状態の情報を加えたエラー、またはデバッグ・トレースのレベルのエラー、状態およびその他の情報を記録できます。ログから機密情報を除外することもできます。詳細は、第13章「コンポーネント・イベント・メッセージのロギング」を参照してください。
また、カスタムのOracle WebLogicスクリプト・ツール(WLST)コマンドを使用して、OAMのロギング・レベルを変更することもできます。
Oracle Access Manager 11gでは、監査とは管理や認証、ランタイム・イベントに関連する、確認に固有の情報を収集するプロセスを指します。監査は、ポリシーやユーザー・アクセスのコントロール、リスク管理の手順の遵守を評価する上で役立ちます。
|
注意: 監査は、すべてのOracle Access Manager 11gコンポーネントで利用できるわけではありません。ただし、ロギングはすべてのOAMコンポーネントで使用できます。 |
イベントは、基礎となるOracle Fusion Middlewareの共通監査フレームワークを使用して監査されます。このフレームワークは、データベース監査ストアを使用して、監査フレームワークにスケーラビリティと高可用性を提供します。データベースには監査スキーマを含める必要があります。
|
注意: Oracle Fusion Middleware共通監査フレームワークのデータベース監査ストアは、OAMポリシーやセッション・データを含まず、OAM管理コンソールからは構成されません。 |
管理者は、Oracle Access Manager管理コンソールを使用して特定の監査パラメータを制御および指定できます。Oracle Access Manager監査構成は、ファイルoam-config.xmlに記録されます。イベント構成(レベルへのイベントのマッピング)は、component_events.xmlで発生します。監査レコードには、特定の要件を満たすために構成できるアイテムのシーケンスが含まれます。
|
注意: 変更にはOAM管理コンソールかWebLogicスクリプト・ツール(WLST)コマンドのみを使用することをお薦めします。oam_config.xmlは編集しないでください。 |
設定不要なサンプルの監査レポートがOracle Access Managerには用意されており、Oracle Business Intelligence Publisherからアクセスできます。また、Oracle Business Intelligence Publisherを使用して、独自のカスタム監査レポートを作成することもできます。
詳細は、第14章「OAM管理および実行時イベントの監査」を参照してください。
このマニュアルの第VIでは以下の内容を説明します。
パフォーマンス・メトリックは、特定のイベントを完了する際にコンポーネントのメモリー内で収集できます。特定のエリアで使われた時間をモニターしたり、特定の発生や状態の変更を追跡できます。
OAM管理者は、OAM管理コンソールのモニタリング・コマンドを使用して、Oracle Access Manager 11gのパフォーマンスをモニターします。
詳細については、第15章「Oracle Access Managerを使用したOAMメトリックのモニタリング」を参照してください。
ライブで動的なOAMパフォーマンス・メトリックは、Fusion Middleware Controlで参照できます。
詳細については、第16章「Fusion Middleware Controlを使用したOAMパフォーマンスのモニタリング」を参照してください。
この項では、このガイドの第VII部の情報を紹介し、次のトピックについて説明します。
OAM 10g WebGatesとOAM 11gのインストールおよび使用に必要なすべての情報は、第17章「OAM 10g WebGatesとOAM 11gの管理」にあります。
OAM 10g WebGatesとOAM 11gへのApache v2ベースのWebサーバー(OHSとIHS)のインストールおよび構成の詳細は、第18章「10g WebGatesのためのApache、OHS、IHSの構成」にあります。
OAM 10g WebGatesとOAM 11gのためのIIS Webサーバーのインストールおよび構成の詳細は、第19章「10g WebGatesのためのIIS Webサーバーの構成」にあります。
OAM 10g WebGatesとOAM 11gのためのISAサーバーの構成に必要なすべての情報は、第20章「10g WebGatesのためのISAサーバーの構成」にあります。
OAM 10g WebGatesおよびOAM 11gと使用するためにLotus Dominoをインストールして構成するために必要はすべての情報は、第21章「10g WebGatesのためのLotus Domino Webサーバーの構成」にあります。
この項では、このガイドの第VIII部の情報を紹介し、次のトピックについて説明します。
表1-3は、様々な開始点がある場合に、OAM 11gを使用するいくつかの方法を示します。
表1-3 OAM 11g共存環境のサマリー
| 所有内容 | OAM 11g SSOを使用するための条件 |
|---|---|
|
OSSO 10gが統合されたOAM 10g |
OSSOのデプロイメントをOAM 11gにアップグレードできます。概要は付録Bにあります。 |
|
Oracle HTTPサーバー以外のWebサーバー |
以下の詳細については、第17章を参照してください。 |
|
OracleAS 10g SSO(OSSO) . |
オラクル社が提供するアップグレード・アシスタントを使用します。これは既存のOracleAS 10g SSOサーバー構成をスキャンして、10g OSSOのポリシー・プロパティ・ファイルおよびスキーマ情報を入力として受け入れ、構成されたパートナ・アプリケーションを目的地であるOracle Access Manager 11g SSOに組み込みます。 アップグレード・アシスタントおよびアップグレード後のタスクを実行した後、既存のパートナ・アプリケーション(ポータル、フォーム、レポート、Discoverer)はOSSOではなく、OAMをSSOプロバイダとして使用します。 注: 既存のmod_ossoモジュールおよびOracleAS 10g SSOサーバー・パートナは、OAMサーバーおよびOAM 11g SSOとシームレスに動作することができます。ただし、やがてすべてのmod_ossoモジュールは、OAM 11g認証ポリシーの使用を可能にするため、OAMエージェントと置き換える必要があります。 アップグレード後のOAM 11gとOSSO 10gサーバー間の共存環境の概要は、付録Bを参照してください。 |
OAM 11gは、デプロイメント間の構成データの転送を合理化します。たとえば、小さいテスト環境から大規模な本番用デプロイメント(またはその逆)というような場合です。
詳細については、付録A「OAM 11gのテストから本番環境への遷移」を参照してください。
Oracle ADF標準インタフェースとOPSS SSO Frameworkに基づいてコード化されたOracle Application Developer Framework(ADF)とアプリケーション。Oracle Platform Security Services(OPSS)のシングル・サインオン・フレームワークは、あるドメインのアプリケーションをシングル・サインオン(SSO)ソリューションと統合する方法を提供します。
ユーザー認証のために、Oracle ADFセキュリティを使用するWebアプリケーションおよびOPSS SSO Frameworkを、Oracle Access Manager 11g SSOのセキュリティ・プロバイダと統合できます。詳細については、付録C「Oracle ADFアプリケーションとOracle Access Manager 11g SSOの統合」を参照してください。
付録D「OAM 10g WebGatesの国際化とマルチバイト・データのサポート」では、国際化とマルチバイト・データのサポートに関する情報を提供します。
Oracle Access Manager 11gを使用すると、資格証明の収集はHTTP(S)チャネルを使用して行われます。認可は、NetPoint Access Protocol(NAP)チャネル(Oracle Access Manager Protocolチャネル)を介して行われます。
HTTP(S)チャネル: HTTP(S)チャネル全体の通信にsecure sockets layer(SSL)を有効にして、資格情報の転送とセキュリティ・トークンの交換を可能にすることをお薦めします。両方の機能で、証明書による署名と暗号化が必要です。
Oracle Access Manager 11gは、WebGatesを含むすべてのOracle Access Managerコンポーネントで使用される証明書を管理する中央のコンポーネントとなります。
NAPチャネル: 簡易モード(Oracleが署名した証明書)または証明書モード(外部の証明書権限)を使用して、認可中にWebGatesとOAMサーバー間の通信を安全にすることをお薦めします。オラクル社では、署名済みの証明書を持っているときに使用可能な、証明書のインポート・ユーティリティを用意しています。詳細については、付録E「OAM 11gとの通信の保護」を参照してください。
|
注意: Oracle Access Manager 11gは、自分で署名した証明書を使用するお客様へのサポートも提供しています。 |
OAM管理者は、カスタムのWebLogicスクリプト・ツール(WLST)コマンドを使用して、特定の構成タスクを実行できます。
詳細については、付録F「OAM管理者用カスタムWLSTコマンドの概要」を参照してください。
Oracle Access Managerは、Internet Protocol Version 4(IPv4)をサポートしています。Oracle Fusion Middlewareは、Internet Protocol Version 4(IPv4)とInternet Protocol Version 6(IPv6)をサポートしています。IPv6は、mod_wl_ohsプラグインを使用してOracle HTTPサーバーに対応しています。
詳細については、付録G「IPv6クライアントのためのOAM 11gの構成」を参照してください。
ヒントおよびトラブルシューティングの情報については、付録H「トラブルシューティング」を参照してください。
