| Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド 11gリリース1(11.1.1) B56235-04 |
|
 前 |
 次 |
第7.3項「アイデンティティ・ストア・サービスの構成」で説明しているID仮想化機能では、分割プロファイルをサポートするために追加の構成がいくつか必要です。
この付録では、分割プロファイルに使用されるアダプタの作成方法および管理方法について説明します。
ID仮想化機能を使用すると、OPSSで複数のLDAPディレクトリを問い合せることができます。たとえば、Oracle Internet DirectoryとMicrosoft Active Directory両方のデータを1つの問合せでフェッチできます。
ID仮想化では「分割プロファイル」がサポートされています。分割プロファイルでは、アプリケーションが、2つの異なるソースに格納されている単一IDの属性を使用します。たとえば、ある人間のユーザー名、パスワードおよび従業員IDがMicrosoft Active Directoryに格納されていて、その人間の従業員IDと業務上の役割がOracle Internet Directoryに格納されている場合です。
たとえば、WebCenterアプリケーションが、複数のソース・ディレクトリから単一IDの属性を取得する必要がある場合には、分割プロファイルを使用して、ID仮想化の結合機能を活用します。これらの結合では、標準的な結合アダプタが使用されます。詳細は、次を参照してください。
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryのアダプタの概要に関する項
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』の結合ビュー・アダプタの概要に関する項
アダプタ構成はadapters.os_xmlに格納されていますが、ホスト、ポート、バックエンド・ディレクトリの資格証明など、接続に関する詳細はOPSSから取り込まれます。
同じユーザーが両方のアイデンティティ・ストアに存在していて、それぞれのストアでユーザー属性が別々になっています。ユーザー・レコードを問い合せる場合には、両方のストアのデータが必要です。構成タスクは次のとおりです。
virtualizeプロパティを使用してアイデンティティ・ストア・サービスを構成し、複数のLDAPストアに対して問合せができるようにします。
詳細は、第7.3項「アイデンティティ・ストア・サービスの構成」を参照してください。
Weblogic AdminServerに接続してWLSTコマンドを実行し、アイデンティティ・ストアの結合アダプタを構成します。
WLSTプロンプトを呼び出す方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のコマンドライン・ツールの使用の概要に関する項を参照してください。
プライマリ・アイデンティティ・ストアに結合アダプタを作成します。
createJoinAdapter(adapterName="Join Adapter Name", root="Namespace", primaryAdapter="Primary adapter Name")
セカンダリ・ストアに結合ルールを追加します。
addJoinRule(adapterName="Join Adapter Name", secondary="Secondary Adapter Name", condition="Join Condition")
|
注意: セカンダリ・アイデンティティ・ストアが複数ある場合は、セカンダリ・ストアごとにaddJoinRuleコマンドを実行します。 |
modifyLDAPAdapterコマンドを実行します。
modifyLDAPAdapter(adapterName="AuthenticatorName", attribute="Visible", value="Internal")
|
注意: セカンダリ・アイデンティティ・ストアが複数ある場合は、セカンダリIDストアごとにmodifyLDAPAdapterコマンドを実行します。 |
例
この例では、同じユーザーが2つのストアに存在していて、最初のストアはMicrosoft Active Directory、2番目のストアはOracle Internet Directoryです。この例では、Microsoft Active Directoryがプライマリ・ストア、Oracle Internet Directoryがセカンダリ・ストアと想定しています。
|
注意: LDAP接続のパラメータを構成するときには、user.create.basesとgroup.create.basesがプライマリ・アダプタのネームスペースに対応している必要があります。パラメータの詳細は、第7.3.1項「構成内容」を参照してください。 |
cn=users,dc=acme,dc=comcn=users,dc=oid,dc=com
拡張プロファイルを実装する手順は次のとおりです。
結合アダプタを作成します。
createJoinAdapter(adapterName="JoinAdapter1", root="dc=acme,dc=com", primaryAdapter="AD")
ここに示したアダプタ名はあくまで例で、実際に使用するときには適切な名前を使用してください。
結合ルールを指定します。
addJoinRule(adapterName="JoinAdapter1", secondary="OID", condition="uid=cn")
「uid=cn」は前述の例における結合条件で、Oracle Internet Directory(セカンダリ)のユーザーのuidの値がMicrosoft Active Directory(プライマリ)のユーザーのcnの値と一致した場合に属性が組み合されることを示しています。
条件の左側の属性がセカンダリ・アダプタの属性で、右側の属性がプライマリ・アダプタの属性です。
アダプタを変更します。
modifyLDAPAdapter(adapterName="OID", attribute="Visible", value="Internal") modifyLDAPAdapter(adapterName="AD", attribute="Visible", value="Internal")
ここで使用されているアダプタ名は認証プロバイダの実際の名前です。プライマリとセカンダリすべてのパラメータにあるアダプタ名は、認証プロバイダ名も参照しています。結合アダプタ名には、どのような名前を選択してもかまいません。
Weblogic管理サーバーと管理対象サーバーを再起動します。
removeJoinRuleコマンドを使用して、結合アダプタから結合ルールを削除します。
構文
例
removeJoinRule(adapterName="JoinAdapter1", secondary="OID")
deleteAdapterコマンドを使用して、結合アダプタを削除します。
構文
例
deleteAdapter(adapterName="JoinAdapter1")
modifyLDAPAdapterコマンドを使用して、アダプタの可視性を変更します。例:
modifyLDAPAdapter(adapterName="AuthenticatorName", attribute="Visible", value="Yes")
