ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Access Manager管理者ガイド
11g リリース1(11.1.1)
B62265-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

4 OAMサーバー登録の管理

この章では、Oracle Access Manager 11g管理コンソールを使用してOAMサーバー・インスタンスの登録をプロビジョニングおよび管理する方法を説明します。内容は次のとおりです。

前提条件

次の環境的な考慮事項が満たされていることを確認してください。

「OAMサーバー登録および管理の概要」に目を通すことをお薦めします。

OAMサーバー登録および管理の概要

この項の次のトピックでは、Oracle Access Managerサーバー・インスタンスの登録と管理について説明します。

OAM 11gとOAM 10gのサーバー側の違いについて

表4-1は、Oracle Access Manager 11gとOAM 10g、OracleAS SSO 10gのサーバー側の違いについて説明しています(表2-1の全体的な比較から抽出)。

表4-1 概要: OAM 11g、OAM 10gおよびOSSO 10gのサーバー側の違い


OAM 11g OAM 10g OSSO 10g

サーバー側のコンポーネント

  • OAMサーバー(WebLogic管理対象サーバーにインストール)

  • OAM管理コンソール(WebLogic管理サーバーにインストール)

  • アクセス・サーバー

  • ポリシー・マネージャ

  • OracleAS SSOサーバー(OSSOサーバー)

暗号化キー

インターネット上での情報交換の保護に使用されるプロトコル。

  • WebGateとOAMサーバー間で共有されるエージェントの秘密鍵ごとに1つ(エージェント登録時に生成)

  • OAMサーバー・キー1つ(サーバー登録時に生成)

WebGateごとにグローバル共有秘密鍵1つ

  • mod_ossoとOSSOサーバー間で共有されるパートナごとに1つのキー

  • OSSOサーバー自身のキー

  • GITOドメインcookieに設定されたOSSOごとにグローバル・キー1つ

キー・ストレージ

  • エージェント側: エージェントごとのキーは、ローカルでウォレット・ファイルのOracleシークレット・ストアに格納されます。

  • OAM 11gサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。

ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(WebGateに対してはアクセス不可)

  • mod_osso側: 曖昧な構成ファイルにローカルで格納されるパートナ・キーおよびGITOグローバル・キー

  • OSSOサーバー側: パートナ・キー、GITOグローバル・キー、サーバー・キーは、すべてディレクトリ・サーバーに格納されます。


個々のOAMサーバー登録について

管理者は、Oracle Access Manager 11gと使用する1つまたはそれ以上の管理対象サーバーをWebLogic Serverドメインに追加できます。WebLogic構成ウィザードを使用するときに、OAMサーバーは自動的にOAM 11gに登録されます。ただし、構成ウィザードを使用しない場合は、通信チャネルを開くためにOAMサーバーをOAM 11gに登録する必要があります。

または、OAM用のカスタムWLSTコマンドを使用して、サーバー登録の表示や編集、削除を行えます。すべての変更は自動的にOAM管理コンソールおよびクラスタ内のOAMサーバーに伝播されます。

OAMサーバーのみがOAM 11gに登録されます。WebLogic管理サーバー上のOAM管理コンソールは、自身には登録されません。

OAMサーバーの登録方法に関係なく、詳細(つまり、登録)はOAM管理コンソールの「システム構成」タブの下にまとめられます。OAM管理コンソール内のOAMサーバー登録の詳細には以下が含まれます。

管理者は特定のインスタンス登録を検索し、新しくインストールされたOAMサーバーを登録して、Oracle Access Manager管理コンソールを用いてサーバー登録の表示や変更、削除を行えます。詳細については、「OAMサーバー登録のページについて」を参照してください。

埋込みプロキシ・サーバーおよび下位互換性について

Oracle Access Manager 11gのサーバー側のコンポーネントは、既存のOracle Access Manager 10gのポリシー強制エージェント(OAM 10G WebGatesおよびAccessGates)とOracleAS SSO 10g mod_osso(11gではOSSOエージェント)との下位互換性を維持しています。

レガシーOAM 10g SSO: OAMプロキシは複数のAccessクライアントから同時にリクエストを受け入れることができ、すべてのWebGatesおよびAccessGatesがOracle Access Manager 11gサービスとやり取りできるようにします。詳細については、「「OAMプロキシ」ページ」を参照してください。

レガシーOracleAS 10g(OSSO): 統合されたOSSOプロキシは、認証時のトークン・リクエストに応えて、OSSOエージェントとOAM 11gを使用してトークンの生成と検証を処理します。OSSOプロキシには構成は必要ありません。単純にOSSOエージェントをOAM 11gに登録します。詳細は、第5章および第6章にあります。

OSSOとの組合せにおけるOAM 11g SSOと古いOAM 10g SSOについて

OAM 10gがOracleAS(OSSO)10gに統合されて使用されている古いデプロイメントがある場合、OAM 11g SSOを使用するようにOracleAS SSOをアップグレードできます。

OAM 11gを使用するようにOSSOをアップグレードした後、OAM 10g WebGatesをOAM 11g SSOの同じデプロイメントと動作させることができます。この場合は、必要に応じてOAMプロキシがOAM 10g AccessサーバーまたはOAM 11gサービスのどちらかにリクエストを転送します。

OAM 10g ObSSOCookieは、暗号化されたセッション・ベースのシングル・サインオンcookieで、ユーザーの認証が成功すると生成されます。OAM 10g ObSSOCookieはユーザー・アイデンティティ・ストア情報を格納し、必要があればユーザーはそれをキャッシュ化できます。

統合されたOAMプロキシは、10g ObSSOCookieのAES暗号化アルゴリズムをサポートして、リリース10g WebGatesとの下位互換性を可能にします。10g Accessサーバーは、OAM 11gプロキシによって作成されたcookieを復号化できます(その逆も可)。これによって、OAM 11gが認証を実行し、OAM 10gが認可を行えるようになります(その逆も可)。


注意:

OAMプロキシによって作成されたOAM 11g ObSSOCookieは、Oracle Access Manager 10gアクセス・サーバーによって作成されたObSSOCookieと互換性があります。

詳細については、「「OAMプロキシ」ページ」を参照してください。

OAMサーバーとWebGates間の通信について

OAPチャネルの通信モードには以下のものがあります。

  • オープン: 通信のセキュリティがデプロイメントで問題にならない場合、この暗号化されていないモードを使用してください。

  • 簡易: 認証局(CA)を自分で管理せずに証明書パスワードをプレーン・テキスとして送信するなど、セキュリティ上の考慮事項がある場合に、このオラクル社が署名する証明書モードを使用します。

  • 証明書: OAMサーバーとWebGatesで異なる証明書を使用し、信頼できるサード・パーティの認証局にアクセスがある場合に、これを使用します。

個々のOAMサーバー登録で、セキュリティ・モードは「プロキシ」タブで定義されます。この詳細は「OAMサーバー登録のページについて」にあります。

「簡易」と「証明書」のモードには以下が必要です。

少なくとも1つのOAMサーバー・インスタンスが、エージェント登録時にエージェントと同じモードで実行中である必要があります。そうでなければ、エージェント登録が失敗します。ただし、エージェント登録の後に、OAMサーバーの通信モードは変更できます。エージェントとサーバー間の通信は、WebGateモードがOAMサーバーのモードと同じか、またはそれ以上であれば続けて機能します。エージェント・モードは高くでも問題ありませんが、低くすることはできません。たとえば、OAMサーバーのモードがオープンの場合、エージェントは3つのモードのどれでも通信することができます。OAMサーバー・モードが簡易の場合、エージェントは簡易または証明書を使用できます。OAMサーバー・モードが簡易の場合、エージェントは証明書モードを使用する必要があります。

サーバー共通プロパティについて

OAM 11g管理コンソールを使用する場合、すべてのOAMサーバーが共有するグローバル設定を表示して変更できます。これには、SSOエンジン、ポリシー・ストア、セッション管理、監査、Oracle Coherenceの設定が含まれます。

詳細については、「OAMサーバー共通プロパティの管理の概要」を参照してください。

個々のOAMサーバー登録の管理

この項では、Oracle Access Manager管理コンソールを使用して、OAMサーバー・インスタンスを登録および管理する方法を説明します。内容は次のとおりです。

OAMサーバー登録のページについて

有効なOAM管理者の資格証明を持つユーザーは、Oracle Access Manager管理コンソールを使用して、新しくインストールされた管理対象サーバー(OAMサーバー・インスタンス)を登録するか、既存のOAMサーバー登録を変更できます。

または、OAM用のカスタムWLSTコマンドを使用して、OAMサーバー・インスタンスを登録および管理できます。変更はOAM管理コンソールに反映されて、クラスタ内のすべてのOAMサーバーに自動的に伝播されます。

図4-1は、Oracle Access Manager管理コンソールから見た一般的なOAMサーバーの登録ページを示します。

図4-1 OAMサーバー構成ページと「プロキシ」タブ

「サーバー構成」ページ
「図4-1 OAM「サーバー構成」ページとプロキシ」タブ」の説明"

個々のサーバー登録設定の説明は、表4-2にあります。

表4-2 OAMサーバー・インスタンスの設定

要素 定義

サーバー共通プロパティ

「OAMサーバー共通プロパティ」ページへのリンク。

関連項目: 「OAMサーバー共通プロパティの管理の概要」

サーバー名

このサーバー・インスタンス名を識別する名称。WebLogic Serverドメインの初回デプロイメント時に定義されています。

ホスト

サーバー・インスタンスをホストするコンピュータのフルDNS名(またはIPアドレス)。例: host2.company.com

ポート

このサーバーが通信(リスニングと応答)するポート。

デフォルト: 5575

注: SSLと管理対象サーバーの開いているポートがどちらも有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。SSL以外のポートを使用しなければならない場合、認証スキームの資格証明コレクタURLを、プロトコルおよび非SSLポートとして'http'をポイントする絶対URLに設定する必要があります。

関連項目: 付録E「OAM 11gとの通信の保護」

プロキシ

「「OAMプロキシ」ページ」を参照してください。

コヒーレンス

「個々のサーバーの「コヒーレンス」ページ」を参照してください。


「OAMプロキシ」ページ

統合されたプロキシ・サーバー(OAMプロキシ)が、Oracle Access Manager(OAMサーバー)の各管理対象サーバーとともにインストールされます。OAMプロキシはレガシー・アクセス・サーバーとして使用され、OAM 11gに登録されたOAM 10gエージェントの下位互換性を提供します。エージェントは新しくインストールするか、OAM 10g SSOデプロイメント内で現在動作中でもかまいません。

それぞれのOAMプロキシ・インスタンスには、異なるポートが必要です。プロキシは、アプリケーションが起動するとリスニングを開始します。登録されたアクセス・クライアントは、プロキシとすぐに通信することができます。

OAMプロキシは、構成と実行時のイベントを両方処理します。それぞれのOAMプロキシは、複数のアクセス・クライアントからのリクエストを同時に受け入れることができます。各OAMプロキシによって、OAMアクセス・クライアントはOracle Access Manager 11gサービスとやり取りが可能になります。内容は次のとおりです。

  • 10g(10.1.4.3)WebGates

  • 10g(10.1.4.2.0)WebGates

  • 10g(10.1.4.0.1)WebGates

  • 11g WebGates(プロキシ不要)


注意:

AccessGatesについては、OAM 11gは認証と認可の機能のみを提供します。AccessGatesによるポリシーの変更はサポートされていません。

OAMプロキシ設定は、表4-3の詳細から構成されます。

表4-3 個別のOAMサーバーのOAMプロキシ設定

OAMプロキシ設定 タイプ

WebLogicポート

int(整数)

Oracle WebLogic Serverがリスニングするポートで、資格証明の収集目的でユーザーをリダイレクトするために使用されます。

ポート

int(整数)

このOAMプロキシ・インスタンスがリスニングする一意のポート。

プロキシ・サーバーID


OAMプロキシ(およびこのOAMサーバー・インスタンス)が存在するコンピュータの識別子。DNSホスト名が推奨ですが、有効かつ適切な任意の文字列を使用できます。

モード


OAMプロキシのOAMチャネル・トランスポート・セキュリティは、以下のいずれかを使用できます(エージェント・モードは登録時に一致する必要があり、登録後に上げることができます)。

  • オープン: 暗号化なし。

  • 簡易: OAMエージェントとOAMサーバー間で渡されるデータは、OAMの自己署名証明書を使用して暗号化されます。

    「簡易」モードを指定する前に、グローバル・パスフレーズを指定する必要があります。

  • 証明書: OAMエージェントとOAMサーバー間のデータは、認証局(CA)が署名したX.509証明書を使用して暗号化されます。

    : 「証明書」モードを指定する前に、信頼できるサード・パーティの認証局から署名済証明書を取得する必要があります。

: 「簡易」および「証明書」のトランスポート・セキュリティ・モードは、「OAMサーバー共通プロパティ」の「OAMプロキシ」タブで定義された情報により制御されます。この詳細は、「共通OAMプロキシの「簡易」および「証明書」モードのセキュリティ管理」にあります。

関連項目: 「簡易」および「証明書」トランスポート・セキュリティ・モードを構成する場合は、付録E


OAMプロキシのロギング: Oracle Access Manager 11gコンポーネントは、他のOracle Fusion Middleware 11gコンポーネントと同じロギング・インフラストラクチャを使用します。詳細は第14章にあります。ただし、OAMプロキシはロギングにApache log4jを使用します。

個々のサーバーの「コヒーレンス」ページ

Coherenceは、信頼できるスケーラビリティの高いP2Pのクラスタ・プロトコル上で、複製および分散(パーティション化)されたデータ管理とキャッシング・サービスを行います。Coherenceには障害の場所がありません。サーバーが稼働不可能になったり、ネットワークからの接続が切断されると、クラスタ化されたデータ管理サービスが自動的かつ透過的にフェイルオーバーして再び分散されます。

新しいサーバーが追加されたり、障害の起きたサーバーが再起動されると、サーバーは自動的にクラスタに加わってCoherenceはサービスをそのサーバーにフェイルバックして、クラスタ・ロードを透過的に再分散します。Coherenceには、サーバーが自己修復できるようにするネットワーク・レベルの耐故障性機能と透過的なソフト再起動の機能があります。

Coherenceモジュールは、図4-1に示すように値と個々のサーバー・インスタンスのタイプから構成されます。

図4-2 「コヒーレンス」ページと個々のOAMサーバーの値

図4-2の説明は前後の文章を参照してください。

警告:

Oracleサポートから指示がない限り、個々のサーバーのOracle Coherenceの設定を変更しないようお薦めします。


表4-4 個別のOAMサーバーのデフォルトのCoherence設定

Coherenceモジュール エントリのタイプ 説明とデフォルト値

LogLevel

文字列

OAMサーバー・イベントのCoherenceログ・レベル(0から9)。

LogPort

int(整数)

WebLogic Serverでロギングを行うCoherenceのニスニング・ポート。

LogLimit

文字列

Coherenceのログ制限


Coherenceのロギング: WebLogic Serverログにのみ表示されます。Oracle CoherenceロギングからOracle Access Managerのロギングへの橋渡しはありません。Oracle Fusion Middleware 11gロギング・インフラストラクチャの詳細については、第14章を参照してください。

個々のOAMサーバー登録の検索

有効なOAM管理者の資格証明を持つユーザーは、以下の手順を使用して、管理者コンソールによりOAMサーバー登録を検索できます。

前提条件

OAMサーバーがOracle Access Manager管理コンソールに登録されている必要があります。

個々のサーバー・インスタンスの登録を検索する手順

  1. 「システム構成」タブをアクティブ化します。

  2. 検索タイプのリストから、サーバー・インスタンスのタイプを選択して検索を定義します。

  3. テキスト・フィールドに、検索するインスタンスの正確な名称を入力します。例:

    my_OAM_Server
    
  4. 「検索」ボタンをクリックして、検索を開始します。

  5. 「検索結果」タブをクリックして結果表を表示し、以下を実行します。

    • 編集: ツール・バーの「編集」コマンド・ボタンをクリックし、構成ページを表示します。

    • 削除: ツール・バーの「削除」ボタンをクリックして、インスタンスを削除し、「確認」ウィンドウで削除を確認します。

    • デタッチ: 表を1ページ全面に展開するには、ツール・バーの「デタッチ」をクリックします。

    • 表示: 結果表の外観を変更するには、「表示」メニューの項目を選択します。

  6. 検索結果の処理を完了してナビゲーション・ツリーに戻るには、「参照タブをクリックします。

新しいOAMサーバー・インスタンスの登録

有効なOAM管理者の資格証明を持つユーザーは、以下のタスクを実行して、OAM管理コンソールにより新しい管理対象サーバー(OAMサーバー)のインスタンスを登録できます。


注意:

エージェントと通信するには、それぞれのOAMサーバーが登録されている必要があります。

前提条件

新しい管理対象サーバーのインスタンスが、Oracle WebLogic Serverドメインで構成され、まだ起動されていない状態である必要があります。


関連項目:


OAMサーバー・インスタンスの登録の手順

  1. 新しい管理対象サーバー・インスタンスをOracle WebLogic Serverドメインにインストールして構成し、このインスタンスを起動しないでください。

  2. 通常のようにOAM管理コンソールにログインします。

  3. 「ようこそ」ページから、「サーバー構成」パネルで「サーバー構成の追加」リンクをクリックして、新しいページを開きます。

    または、「システム構成」タブから、「サーバー・インスタンス」をクリックして、ツール・バーの「作成」ボタンをクリックします。

  4. 「作成: OAMサーバー」ページで、表4-2のとおりにインスタンスの詳細を入力します。

    • サーバー名

    • ホスト

    • ポート

  5. プロキシ: このOAMプロキシ・インスタンスの詳細を入力または選択します。詳細は表4-3にあります。

    • WebLogicポート:

    • ポート

    • プロキシ・サーバーID

    • モード(オープン、簡易、証明書)


      関連項目:

      付録E if (「簡易」または「証明書」モードを使用する場合)

  6. Coherence: Oracleサポートから指示がない限り、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。

  7. 構成を送信するには「適用」をクリックます。構成はナビゲーション・ツリーに表示されます。または、変更を適用せずにページを閉じてください。

  8. 新しく登録したサーバーを起動します。

個々のOAMサーバーおよびプロキシ設定の表示または編集

有効なOAM管理者の資格証明を持つユーザーは、以下のタスクを使用して、管理者コンソールにより個々のサーバー・インスタンスの設定表示または変更できます。たとえば、ニスニング・ポートやプロキシ通信のトランスポート・セキュリティ・モードを変更することを決めた場合などです。

変更はすぐにOAM管理コンソールに表示され、クラスタ内のすべてのOAMサーバーに伝播されます。

サーバー・インスタンスの登録を表示または変更する手順

  1. 「システム構成」タブから、ナビゲーション・ツリーで「サーバー・インスタンス」ノードを展開します。

  2. 希望するインスタンス名をダブルクリックして構成を表示し、次のように処理を続けます。

    • 表示のみ: 詳細の閲覧が終わったら、ページを閉じます。

    • 変更: 残りの手順を実行して、構成を編集します。

  3. 「作成: OAMサーバー」ページで、表4-2のとおりにインスタンスの詳細を入力します。

  4. プロキシ: このOAMプロキシ・インスタンスの詳細を入力または選択します。詳細は表4-3にあります。


    関連項目:

    付録E if (「簡易」または「証明書」モードを使用する場合)

  5. Coherence: Oracleサポートから指示がない限り、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。

  6. 「適用」をクリックして、変更を送信します(または変更を適用しないでページを閉じます)。

個々のサーバー登録の削除

有効なOAM管理者の資格証明を持つユーザーは、以下のタスクを実行してサーバー登録を削除できます。削除すると、OAMサーバーが無効になります。

サーバー登録を削除する手順

  1. 「システム構成」タブから、ナビゲーション・ツリーで「サーバー・インスタンス」ノードを展開します。

  2. 希望するインスタンス名をダブルクリックして詳細を確認してから、ページを閉じます。

  3. 希望するインスタンス名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。

  4. インスタンスがナビゲーション・ツリーから削除されたことを確認します。

  5. WebLogic Server管理consoleからインスタンスを削除して、サーバー・インスタンスの削除を完了します。

    あとは管理対象サーバー・ホスト上のノード・マネージャが自動的に処理します。

OAMサーバー共通プロパティの管理の概要

OAMサーバー共通プロパティは、すべてのOAMサーバー・インスタンスに適用されます。この項では、共通サーバーおよび共通シングル・サインオン(SSO)エンジン設定について以下のトピックで説明します。

OAMサーバー共通プロパティ・ページについて

OAMサーバー共通プロパティは、すべてのOAMサーバー・インスタンスに適用されます。たくさんの共通プロパティ・タブが「OAMサーバー共通プロパティ」ページに表示されます。

図4-3は、「OAMサーバー共通プロパティ」ページおよび名前の付いたタブを示します。

図4-3 「OAMサーバー共通プロパティ」ページ

「OAMサーバー共通プロパティ」ページ
「図4-3 「OAMサーバー共通プロパティ」ページ」の説明

OAMサーバー共通プロパティを表示すると、「監査構成」タブが開きます。共通のタブと機能については、表4-5で説明しています。管理者は、このタブから特定の監査パラメータを制御および指定できます。Oracle Access Manager監査構成は、ファイルoam-config.xmlに記録されます。

表4-5 OAMサーバーの共通プロパティ・タブ

タブ名 説明

監査構成

Oracle Access Managerは、多数の管理イベントおよび実行時イベントの監査、統一されたロギングおよび例外処理、すべての監査イベントの診断をサポートしています。

監査の構成の詳細は、第14章「OAM管理および実行時イベントの監査」を参照してください。

SSOエンジン

シングル・サインオンは、ユーザーやユーザーのグループが、シングル・サインオンおよび成功した認証の後、複数のアプリケーションにアクセスできるようにします。SSOは複数のログインを排除します。

詳細は、「共通SSOエンジンの管理」を参照してください。

セッション

セッション管理とは、ユーザー・セッションのライフサイクル要件を管理するプロセスと、グローバル・ログアウトを可能にするためのセッション・イベントの通知を指します。グローバル・ログアウトは、任意のエンティティでのセッションのログアウトがすべてのエンティティに伝播されるようにするために、OSSOエージェント(mod_osso)に必要です。

詳細は、第12章「セッションの管理」を参照してください。

コヒーレンス

すべてのOAMサーバーで共有される共通のOracle Coherence設定は、個々のOAMサーバーの設定とは異なります。ただし、どちらの場合でも、Oracleサポートの指示がない限りは、これらの設定を調整しないことをお薦めします。

関連項目: 「トラブルシューティングでOracle Coherenceを使用」

OAMプロキシ

初回のデプロイメント中に、「簡易」モードのグローバル・パスフレーズまたは「証明書」(証明書)モードのキーストアの別名およびパスワードが定義されます。

詳細については、「共通OAMプロキシの「簡易」および「証明書」モードのセキュリティ管理」を参照してください。

ポリシー

実行時のポリシー評価中に、リソース一致キャッシュはリクエストされたURLをポリシーにマッピングします。

関連項目: 「実行時のポリシー評価キャッシュの管理」


OAMサーバー共通プロパティ・ページの表示

有効なOAM管理者の資格証明を持つユーザーは、次のタスクを実行して、OAMサーバーの共通プロパティのページを表示することができます。

OAMサーバー共通プロパティ・ページを表示する手順

  1. 「システム構成」タブから、ナビゲーション・ツリーでサーバー・インスタンスをダブルクリックして、「OAMサーバー共通プロパティ」ページとタブを表示します。

    または、個々のサーバー登録ページの上にある「サーバー共通プロパティ」リンクをクリックします。

  2. 必要な構成の詳細を識別する名前付きのタブをクリックし、表4-5にある追加情報を参照します。

共通OAMプロキシの簡易および証明書モードのセキュリティ管理

この項の内容は次のとおりです。

簡易および証明書モードのトランスポート・セキュリティについて

表4-6は、簡易モードと証明書モードの共通点を示します。

表4-6サマリー: 簡易モードと証明書モード

アーティファクトまたはプロセス 簡易モード 証明書モード オープン・モード

X.509デジタル証明書のみ。

X

X

なし

OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246(TLS v1)を使用して暗号化されます。

X

X

なし

それぞれの公開鍵に対して、Oracle Access Managerがファイルに格納する対応する秘密鍵があります。

aaa_key.pem

openSSLにより生成

aaa_key.pem

CAにより生成

なし

プライバシ強化メール(PEM)フォーマットの署名された証明書

openSSLにより生成されるaaa_cert.pem

CAにより生成されるaaa_cert.pem

なし

OAMサーバーの構成中に、使用するモードに応じて、秘密鍵をグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebGateで秘密鍵を使用するには、正しいパスフレーズが必要です。

最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ:

  • password.xml

PEMフォーマット:

  • キーストア別名

  • キーストア別名パスワード

なし

OAMエージェントまたはOAMサーバーの登録中に、通信モードがOAM 11g管理consoleに伝播されます。

それぞれのWebGateおよびOAMサーバー・インスタンスについて同じパスフレーズ。

それぞれのWebGateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。

なし

WebGateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。

ルートCAは、WebGate証明書を返します。この証明書は、WebGateのインストール中またはインストール後にインストールできます。

cacert.pem

Oracle提供のopenSSL認証局により署名された証明書リクエスト

aaa_req.pem

使用する認証局により署名された証明書リクエスト

なし

DESアルゴリズムを使用して秘密鍵を暗号化します。例:

openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des

なし

X

なし

エージェント・キー・パスワード

なし

エージェント登録時にパスワードを入力します(表5-5を参照)。

なし

エージェント登録時に、ObAccessClient.xmlが以下の場所に生成されます。

$DOMAIN_HOME/output/$Agent_Name/

ObAccessClient.xml

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

ObAccessClient.xml

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

ObAccessClient.xml

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

エージェント登録時に、password.xmlが以下の場所に生成されます。

$DOMAIN_HOME/output/$Agent_Name/

関連項目: 付録E

password.xml

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

password.xml

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

なし

エージェント登録時に、aaa_key.pemが以下の場所に生成されます。

$DOMAIN_HOME/output/$Agent_Name/

関連項目: 付録E

aaa_key.pem

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

aaa_key.pem

コピー先:


11g WebGate: 11gWebGate_instance_dir/

10g WebGate: $WebGate_install_dir/

なし


セキュア・サーバー通信の共通OAMプロキシ・ページについて

管理者は、「OAMサーバー共通プロパティ」ページの「OAMプロキシ」タブで、すべてのサーバー・インスタンスおよびWebGatesで使用する簡易または証明書通信セキュリティを構成できます。図4-4は、このタブの設定を示します。

図4-4 サーバー共通のOAMプロキシ・ページ

サーバー共通のOAMプロキシ設定

表4-7は、簡易または証明書モードの構成に必要な設定を示します。

表4-7 サーバー共通のOAMプロキシ・セキュア通信の設定

モード 説明

簡易モード構成

OAMが署名したX.509証明書を使用した簡易モード通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。

管理者はこのパスフレーズを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。

証明書モードの構成

外部の認証局により署名された証明書モードのX.509証明書が存在するキーストアに必要な詳細。

  • キーストア別名

  • キーストア別名パスワード

: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。

管理者は、別名とパスワードを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。


OAMプロキシの簡易または証明書設定の表示または編集

OAM管理者はこの手順を使用して、共通OAMプロキシの設定を確認または変更できます。

OAMプロキシの簡易または証明書モード設定を表示あるいは編集する手順

  1. 「システム構成」タブから、ナビゲーション・ツリーでサーバー・インスタンスをダブルクリックして、「OAMサーバー共通プロパティ」ページを表示します。

    または、サーバー・インスタンス登録ページから、「サーバー共通プロパティ」リンクをクリックします。

  2. 「OAMプロキシ」タブをクリックします。

  3. 簡易モードの構成: グローバル・パスフレーズを指定します。

  4. 証明書モードの構成: 以下の詳細を指定します。

    • PEMキーストア別名

    • PEMキーストア別名パスワード

  5. 「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。

実行時のポリシー評価キャッシュの管理

この項では以下について説明します。

共通実行時のポリシー評価キャッシュの管理について

図4-5は、OAMサーバーの共通プロパティ・ポリシータブを示します。このタブでは、リソース一致キャッシュおよび認可結果キャッシュを設定します。これらは実行時のポリシー評価のときに使用します。

図4-5 共通ポリシー評価キャッシュ

図4-5の説明は前後の文章を参照してください。

表4-8は、すべてのサーバーおよびリクエストに適用されるこれらのグローバル設定の概要を示します。

表4-8 ポリシー評価キャッシュ

要素 説明

リソース一致キャッシュ

リクエストされたURLと、そのURLに適用されるリソース・パターンを保持するポリシー間のマッピングをキャッシュ化します。

デフォルト値:

  • 最大サイズは100000で、ゼロでキャッシュが無効になります。

  • 存続時間(秒) 3600。ゼロは存続時間が無効になります。

認可結果キャッシュ

リクエストされたURLおよびユーザーのポリシー決定をキャッシュ化します。

デフォルト値:

  • 最大サイズは100000で、ゼロでキャッシュが無効になります。

  • ユーザーあたりの最大サイズは100で、ゼロでキャッシュが無効になります。

  • 存続時間(秒) 3600。ゼロは存続時間が無効になります。


共通実行時のポリシー評価キャッシュの管理

OAM管理者はこの手順を使用して、OAMサーバーの共通実行時のポリシー評価キャッシュを管理できます。

共通実行時のポリシー評価キャッシュ設定を管理する手順

  1. 「システム構成」タブから、ナビゲーション・ツリーでサーバー・インスタンスをダブルクリックします。

    または、サーバー・インスタンス登録ページから、「サーバー共通プロパティ」リンクをクリックします。

  2. 「サーバー共通プロパティ」ページで、「ポリシー」タブをクリックします。

  3. リソース一致キャッシュ: 詳細を指定して「適用」をクリックします(表4-8)。

  4. 認可結果キャッシュ: 詳細を指定して「適用」をクリックします(表4-8)。

  5. 「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。