7 Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合

この章では、Oracle Access ManagerをOracle Identity ManagerおよびOracle Adaptive Access Managerに統合し、高度に安全なセルフ・サービス・パスワード管理フローを提供する方法について説明します。

この章では、次の内容を説明します。

• はじめに

• プロセス・フロー

• 統合の前提条件

• 統合タスクの概要

• Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerのインストール

• Oracle Access ManagerおよびOracle Adaptive Access Managerの事後構成の実行

• 11g Webゲートの登録

• Oracle Access ManagerとOracle Identity Managerの統合

• Oracle Identity Managerに対するLDAP同期の有効化

• Oracle Access ManagerとOracle Adaptive Access Managerの統合

• 統合用のOracle Identity Managerプロパティの構成

• IAMSuiteエージェント・アプリケーション・ドメインのアプリケーションにアクセスするためのTAPスキームの構成

• トラブルシューティングのヒント

7.1 はじめに

11gリリース1 (11.1.1)では、Oracle Access Managerによりそれ自体のアイデンティティ・サービスは提供されません。かわりに、Oracle Access Managerにより次のものが提供されます。

• Oracle Identity Manager、LDAPディレクトリおよび他のソースによって提供されるアイデンティティ・サービスを使用します。

• Oracle Identity ManagerおよびOracle Adaptive Access Managerと統合し、Oracle Access Managerによって保護されたアプリケーションに各種の安全なパスワード収集およびチャレンジ関連の機能を提供します。

  ロスト・パスワード管理はOracle Access Managerログイン・ページから開始されますが、OAAMチャレンジ質問を使用し、OIMを通じてユーザー・リポジトリに同期されます。

他の組合せも可能ですが、次の機能を利用できるため、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合をお薦めします。

• パーソナライズされた仮想認証デバイスを通じたパスワード入力およびマルウェア保護

• ログイン時のリスク・ベースの認証やパスワード・リセットなどのすべてのフローで使用される、セカンダリ・ログイン認証のナレッジベース認証(KBA)

• リスクに基づくセカンダリ・ログイン認証のワンタイム・パスワード(OTP)チャレンジ

• パスワード保護とKBAおよびOTPチャレンジ機能をサポートするための登録フロー

• パスワード保護とKBAおよびOTPチャレンジ機能をサポートするためのユーザー・プリファレンス・フロー

• パスワード管理フロー

Oracle Adaptive Access Manager

Oracle Adaptive Access Managerは次の役割をします。

• 認証の前後におけるリアルタイム・リスク分析ルールの実行

• ログイン、チャレンジ、登録およびセルフ・サービス・フローを通じたユーザーのナビゲート

Oracle Identity Manager

Oracle Identity Managerは次の役割をします。

• ユーザーのプロビジョニング(ユーザーを追加、変更または削除するため)

• パスワードの管理(パスワードをリセットまたは変更するため)

Oracle Access Manager

Oracle Access Managerは次の役割をします。

• ユーザーの認証と認可

• パスワードのリセット、パスワードの期限切れ、ユーザーのロックなどの詳細なステータス・フラグの提供

7.2 プロセス・フロー

このデプロイのプロセス・フローは次のとおりです。

リソース保護および資格証明収集フロー

1. OAM Webゲート・サーバーは、URLを保護し、未認証のユーザーを認証できるようにリダイレクトします。

2. OAAMにより、認証用のユーザー名とパスワードが収集されます。

   したがって、OAM Webゲートにより、保護されたURLに未認証のユーザーがアクセスしようとしていることが検出されると、ユーザーがOAAMサーバー・ログイン・ページにリダイレクトされます。

3. 資格証明は、ユーザー名ページとパスワード・ページの、2つの異なるページに分割されます。OAAMにより、ユーザーがユーザー名を入力することが許可されます。登録済ユーザーである場合は、登録ステータスに基づいて、OAAMにより、パーソナライズされた画像およびキャプションとともにパスワード・ページが表示されます。

4. OAAMサーバーにより、認証前ルールが実行され、ユーザーがパスワードの入力を許可されます。

5. OAAMサーバーにあるユーザーのユーザー名および入力されたパスワードに基づき、OAAMサーバーにより、OAMサーバーに対して認証のためのNAP APIコールが行われます。

6. ユーザーがユーザー名およびパスワードを正しく入力したかどうかを示すステータスがOAMサーバーから返されると、OAAMサーバーにより、認証に成功したかどうかが判別されます。

7. 認証に成功した場合は、OAAMサーバーによりユーザーがOAM Webゲートにリダイレクトされます。

8. OAM Webゲート・サーバーにより、ユーザーが元のURLにリダイレクトされます。

9. OAM Webゲートにより、ユーザーが、保護されたURLへのアクセスを許可されます。

パスワード・リセット・フロー

1. ユーザーがパスワードを変更しようとすると表示されるパスワード・ポリシー・テキストを取得するためにOAAMサーバーからOIMサーバーを呼び出す必要がある場合に、OAAMサーバーにより、OIMサーバーとの通信が行われます。

2. ポリシーに基づいて、OAAMサーバーにより、ユーザーはポリシー・テキスト要件に適合したパスワードを入力できるようになります。

   OAAMサーバーは、フローを管理しているため、ユーザーが新しいパスワードおよび古いパスワードを入力できるページをユーザーに対して表示します。

   このテキストはOAMサーバーによって維持されますが、ユーザーがパスワードを変更しようとしたときに表示されるようにそのパスワード・ポリシー・テキストを呼び出して取得するのはOAAMサーバーです。

3. このタスクの完了後に、OAAMサーバーにより、変更をOAMサーバーに伝播するためのAPIコールが行われます。

   OAMサーバーでは、これらの変更をユーザー・ディレクトリまたは資格証明の管理場所に永続化できます。

   OAMサーバーおよびOIMサーバーでは、すべてのユーザー・データが維持された同じユーザー・ディレクトリと通信します。

7.3 統合の前提条件

この統合では次の準備が整っている必要があります。

• すべての必要なコンポーネントが適切にインストールされ、構成されている必要があります。

  • Oracle Internet Directory 11gがインストールされている

    Oracle Internet Directoryのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

  • Oracle Virtual Directory 11gがインストールされている

    Oracle Virtual Directoryのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

  • Repository Creation Utility 11gがインストールされている

    RCUのインストールおよび使用の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

  • Oracle Access Manager、Oracle Adaptive Access Manager、Oracle Identity ManagerおよびOracle HTTP Server用のOracle WebLogic Serverがインストールされている

    WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。

  • Oracle SOA Suiteがインストールされ、少なくともPS2までパッチが適用されている

    Oracle SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。

  • Oracle HTTP Serverがインストールされている

    Oracle HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。

• Oracle HTTP Server 11gインスタンスに、Oracle HTTP Server 11g用のOracle Access Manager 10gまたは11gエージェント(Webゲート)がインストールされている必要があります。

  Oracle HTTP Server Webゲートのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

次の手順は、すぐに使用できる統合によりOracle Access ManagerとOracle Identity Managerが統合されていることを前提としています。

7.4 統合タスクの概要

この統合を実行するには、次のタスクが必要です。

• Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerのインストール

• Oracle Access ManagerおよびOracle Adaptive Access Managerの事後構成の実行

• 11g Webゲートの登録

• Oracle Access ManagerとOracle Identity Managerの統合

• Oracle Identity Managerに対するLDAP同期の有効化

• Oracle Access ManagerとOracle Adaptive Access Managerの統合

• Oracle Identity ManagerとOracle Adaptive Access Managerの統合

• 統合用のOracle Identity Managerプロパティの構成

• IAMSuiteエージェント・アプリケーション・ドメインのアプリケーションにアクセスするためのTAPスキームの構成

7.5 Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerのインストール

Oracle Access ManagerおよびOracle Adaptive Access Managerを同じまたは異なるWebLogicドメインにして、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを異なるWebLogicサーバーにインストールします。

注意: この章では、OAM_HOMEはOAM_WL_HOME/Oracle_IDM1、OAAM_HOMEはOAAM_WL_HOME/Oracle_IDM1です。

Oracle Access ManagerとOracle Adaptive Access Managerの両方について、次のことを確認します。

• データベースがインストールされている

• RCUをインストールして実行し、Oracle Access ManagerおよびOracle Adaptive Access Managerのデータベース・スキーマが作成されている

Oracle Access Managerの設定と構成について、次のことを確認します。

• Oracle WebLogic ServerがOAM_WL_HOMEにインストールされている

• Oracle Access Managerがインストールされている

• Oracle Access Managerが構成されている

Oracle Adaptive Access Managerの設定と構成について、次のことを確認します。

• Oracle WebLogic ServerがOAAM_WL_HOMEにインストールされている

• Oracle Adaptive Access Managerがインストールされている

• Oracle Adaptive Access Managerが構成されている

注意: 必要に応じて、Oracle Access ManagerおよびOracle Adaptive Access Managerを異なるドメインまたは同じWebLogicドメインにインストールできます。 複数のドメインに対するインストールでは、oaam.csf.useMBeansプロパティをtrueに設定する必要があります。このパラメータの設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Managerコマンドライン・インタフェース・スクリプトに関する項を参照してください。 次の統合手順では、参照用に、Oracle Access Managerが含まれているWLSドメインをOAM_DOMAIN_HOME、OAAMが含まれているWLSドメインをOAAM_DOMAIN_HOMEとして表します。

Identity Management Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

7.6 Oracle Access ManagerおよびOracle Adaptive Access Managerの事後構成の実行

この項では、Oracle Adaptive Access Managerの事後構成を実行し、Oracle Access ManagerおよびOracle Adaptive Access Managerが動作することを確認する手順について説明します。

7.6.1 サーバーの再起動

この項でタスクを実行する前に、Oracle Access ManagerおよびOracle Adaptive Access Managerの管理コンソールと、管理対象サーバーが実行されていることを確認します。

7.6.2 Oracle Adaptive Access Manager用のユーザーの作成およびスナップショットのインポート

Oracle Adaptive Access Managerが動作するために必要な最小限の手順を実行するため、Oracle Adaptive Access Managerユーザーを作成し、OAAMポリシー、依存コンポーネントおよび構成が含まれたOAAMスナップショットをインポートします。

完全な事後構成手順の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。

7.6.2.1 Oracle Adaptive Access Managerユーザーの作成

OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。

OAAM管理コンソールを保護する場合は、外部LDAPストアでユーザーおよびグループの作成を処理する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Adaptive Access Manager用のユーザーとグループの作成に関する項を参照してください。

OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールで管理ユーザーを作成する必要があります。WebLogic管理コンソールで管理ユーザーを作成する手順は、次のとおりです。

注意: 保護を提供するIDMドメイン・エージェントを無効化することによって、OAAM管理コンソールの保護を無効化できます。そのためには、環境変数またはJavaプロパティWLSAGENT_DISABLED=trueを設定する必要があります。 IDMドメイン・エージェントの無効化の詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』のIDMドメイン・エージェントの無効化に関する項を参照してください。

1. WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。

2. 左側の「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。

3. 「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm)。

4. レルム名・ページで、「ユーザーとグループ」→「ユーザー」を選択します。

5. 「新規」をクリックし、セキュリティ・レルムにユーザー(user1など)を作成するのに必要な情報を指定します。

   • 名前: oaam_admin_username

   • 説明: オプション

   • プロバイダ: DefaultAuthenticator

   • パスワード/確認

6. 新規作成したユーザーのuser1をクリックします。

7. 「グループ」タブをクリックします。

8. OAAM接頭辞のあるグループをすべて、ユーザーuser1に割り当てます。

9. 「保存」をクリックします。

7.6.2.2 Oracle Adaptive Access Managerスナップショットのインポート

Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、次の手順に従ってスナップショットをシステムにインポートします。

1. 次のURLにあるOAAM管理コンソールにログインします。

   http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin

2. 次の手順に従ってスナップショット・ファイルをシステムにロードします。

   1. ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。

   2. 「ファイルからロード」ボタンをクリックします。

      「スナップショットのロードおよびリストア」ダイアログが表示されます。

   3. 「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。

      ダイアログが開き、現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージが表示されます。

   4. 現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。

      ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。

   5. oaam_base_snapshot.zipを参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。

      デフォルトのoaam_base_snapshot.zipは、Oracle_IDM1/oaam/initディレクトリにあります。

   6. 「OK」→「リストア」をクリックします。

7.6.3 Oracle Access ManagerおよびOracle Adaptive Access Manager用の検証の設定

インストールおよびインストール後の構成が完了したら、次の各項の手順に従ってOracle Access ManagerおよびOracle Adaptive Access Managerが正しく設定されていることを確認します。

7.6.3.1 Oracle Access Managerの設定の検証

次の手順を実行して、Oracle Access Managerが正しく構成されていることを確認します。

1. http://oam_admin_server_host:oam_admin_server_port/oamconsoleに移動します。

   ログインのため、Oracle Access Managerサーバーにリダイレクトされます。

2. 管理者ユーザーの名前とパスワードを指定します。

   Oracle Access Manager管理コンソールに正常にログインできることを確認します。

7.6.3.2 Oracle Adaptive Access Managerの設定の検証

URL: http://host:port/oaam_serverを使用して、OAAMサーバーにアクセスしてみます。OAAMサーバーにログインしてプロファイルを登録できるようになっています。

注意: この時点でログインすると、Oracle Access ManagerとOracle Adaptive Access Managerの統合がまだ行われていないため、「test」としてパスワードを指定する必要があります。このパスワードは、統合後すぐに変更する必要があります。

7.7 11g Webゲートの登録

この項では、11g Webゲートを登録する方法について説明します。Webゲートは、すぐに使用できるアクセス・クライアントです。このWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOracle Access Manager 11gサーバーに転送します。

7.7.1 Webゲート登録の前提条件

Oracle Webゲートを構成して登録する前に、次のものがインストールされていることを確認します。

• Oracle HTTP Server用のWebLogic Server (WLS_FOR_OHS)

• Oracle HTTP Server (WLS_FOR_OHS/Oracle_WT1、これをOHS_HOMEと呼びます)

• Webゲート(WLS_FOR_OHS/Oracle_OAMWebGate1、これをWG_HOMEと呼びます)

7.7.2 11g Webゲートの構成

Oracle Access Manager用のOracle HTTP Server 11g Webゲートをインストールしたら、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のインストール後の手順に関する項を参照してください。

7.7.3 パートナとしての11g Webゲートの登録

保護するアプリケーションをホスティングするコンピュータに存在するOracle Access Managerエージェントを登録する必要があります。

『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』のコンソールを使用したOAMエージェントの登録と管理に関する項を参照してください。

1. Oracle Access Manager管理コンソールを使用して、11g Webゲート・パートナを登録します。次に例を示します。

   11gWG_abc1234567
   

2. ツール・バーの「編集」ボタンをクリックして、構成ページを表示します。

3. 「アクセス・クライアント・パスワード」を設定し、「適用」をクリックします。確認メッセージのアーティファクトの場所をメモします。

4. アーティファクトの場所で、ObAccessClient.xml構成ファイルおよびcwallet.ssoを見つけてOHS_HOME/instances/instance/config/OHS/component/webgate/configディレクトリにコピーします。

7.7.4 OHS Webゲートの再起動

OHS Webゲートを再起動するには、次のコマンドを発行します。

1. OHS_HOME/instances/instance/binディレクトリにナビゲートします。

2. エージェントを停止します。

   ./opmnctl startall
   

3. エージェントを起動します。

   ./opmnctl startall
   

7.7.5 Webゲートの設定の検証

Webゲートの設定が完了したら、登録を検証します。

1. http://ohs_host:ohs_port/にナビゲートします。

   認証のため、Oracle Access Managerにリダイレクトされます。

2. ユーザー名とパスワードを入力します。

   Oracle HTTP Serverの「ようこそ」ページが表示されます。

   これが、Oracle Adaptive Access Managerを使用して保護されるパートナです。

7.8 Oracle Access ManagerとOracle Identity Managerの統合

Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity ManagerおよびOracle Access Managerの間の統合が必要です。

詳細は、第5章「Oracle Access ManagerとOracle Identity Managerの統合」を参照してください。

7.9 Oracle Identity Managerに対するLDAP同期の有効化

Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity Manager用のLDAP同期の有効化が必要です。

Oracle Adaptive Access Managerは、Oracle Identity Managerが同期するのと同じディレクトリで動作します。

注意: UIDはLDAPストア内の新しく作成されたユーザーのCNに一致する必要があり、そうしないとログインが失敗します。

LDAP同期の構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の第15章「Oracle Identity Managerの構成」にある、LDAP同期の有効化の前提条件チェックに関する項、LDAP構成後ユーティリティの実行に関する項およびLDAP同期の検証に関する項を参照してください。

7.10 Oracle Access ManagerとOracle Adaptive Access Managerの統合

このタスクでは、Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Manager (OAAM)の統合の一環として、Oracle Access ManagerとOracle Adaptive Access Managerのコンポーネントを統合することによって、パスワード管理およびチャレンジ関連機能をOracle Access Managerによって保護されたアプリケーションに提供します。

注意: Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合では、IdentityManagerAccessGateプロファイルがOracle Access ManagerとOracle Identity Managerの統合中に構成されているため、すでに存在しています(第7.8項「Oracle Access ManagerとOracle Identity Managerの統合」を参照してください)。

Oracle Access ManagerとOracle Adaptive Access Managerの統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作するように構成します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOracle Access Managerサーバーに送信します。この統合では、Oracle Access Managerサーバーは保護されたリソースにリダイレクトします。

注意: この項の表記: OAM_HOMEはOAM_WL_HOME/Oracle_IDM1です。Oracle Access Managerソフトウェア・インストールを表す場合は、OAM_HOMEを使用します。 OAAM_HOMEはOAAM_WL_HOME/Oracle_IDM1です。Oracle Adaptive Access Managerソフトウェア・インストールを表す場合は、OAAM_HOMEを使用します。 次の統合手順では、参照用に、Oracle Access Managerが含まれているWLSドメインをOAM_DOMAIN_HOME、Oracle Adaptive Access Managerが含まれているWLSドメインをOAAM_DOMAIN_HOMEとして表します。

Oracle Adaptive Access ManagerとOracle Access Managerの統合を次のように構成します。

• Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Access Managerの構成

• Oracle Access Managerの構成の検証

• Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Adaptive Access Managerの構成

• Oracle Access ManagerでのOracle Adaptive Access Managerによるリソースの保護

• Oracle Access ManagerとOracle Adaptive Access Managerの統合の検証

7.10.1 Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Access Managerの構成

Oracle Access ManagerがSimple Security Transportationプロトコルを使用するように構成されている場合、registerThirdPartyTAPPartnerのWLSTコマンドを使用して、OAAMサーバーをパートナ・アプリケーションとして登録する必要があります。

7.10.1.1 パートナ・アプリケーションとしてのOAAMサーバーの登録

OAAMサーバーをパートナ・アプリケーションとして登録するには、次の手順に従います。

1. OAM管理サーバーが実行されていることを確認します。

2. WLST用に環境を設定します。

3. IAM_ORACLE_HOME/common/binに移動します。

4. wlst.shを実行してWLSTシェルに入ります。

5. connectコマンドを使用して、WebLogic管理サーバーに接続します。

   connect ('username', 'password', 't3://hostname:port')

   次に例を示します。

   connect("weblogic","admin_password","t3://AdminHostname:7001")

6. registerThirdPartyTAPPartnerのWLSTを実行します。

   次に例を示します。

registerThirdPartyTAPPartner(partnerName = "OAAMPartner", keystoreLocation= "/scratch/jsmith/dwps1tap/TapKeyStore/mykeystore.jks" ,
password="welcome1", tapTokenVersion="v2.0", tapScheme="TAPScheme",
tapRedirectUrl="http://11gWG_abc1234567.mycompany.com:14300/oaam_server/oamLoginPage.jsp")

表7-1 TAPパートナの例

パラメータ	詳細
partnerName	partnerNameは一意の名前です。Oracle Access Managerにパートナが存在する場合は、その構成が上書きされます。
keystoreLocation	キーストアは既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。Windowsでは、パスをエスケープする必要があります。次に例を示します。 "C:\\oam-oaam\\tap\\keystore\\store.jks" このキーストアは、前述の手順で実行したregisterThirdPartyTAPPartnerコマンドの結果です。この場所は、ユーザーによってコマンドに渡されます。前述の例では、keystoreLocation= "/scratch/jsmith/dwps1tap/TapKeyStore/mykeystore.jks"でした。
password	このパスワードは、キーストアを暗号化するために指定します。後で必要になるため、このパスワードをメモします。
tapTokenVersion	11.1.1.5.0ではtapTokenVersionは常にv2.0です。
tapScheme	これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Manager管理コンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順でregisterThirdPartyTAPPartnerコマンドを実行しているときに自動的に作成されます。TAPスキームの名前は、パラメータとしてそのコマンドに渡されます。例のコマンドではtapScheme="TAPScheme"が使用されています。
tapRedirectUrl	このURLは機能する必要があります。機能しない場合、登録は失敗します。tapRedirectUrlの構文は次のとおりです。 http://oaam_server_host:oaam_server_port/oaam_server/oamLoginPage.jsp このURLはアクセス可能である必要があります。それ以外の場合、検証は失敗し、パートナは作成されません。 Oracle Access ManagerとOracle Adaptive Access Managerの統合では、資格証明コレクタ・ページはOAAMサーバーによって提供されます。registerThirdPartyTAPPartner (TAPScheme)によって作成された認証スキームは、redirectURLとしてOAAMサーバーの資格証明コレクタ・ページを指します。

7.10.1.2 IAMSuiteエージェントの更新

初期構成を生成した後に、IAMSuiteエージェントを更新する必要があります。

1. Oracle Access Manager管理コンソールにログインします。

2. 「システム構成」タブを選択します。

3. ディレクトリ・ツリーから、「Access Managerの設定」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックまたは選択します。

4. IAMSuiteAgentを検索し、「検索結果」で見つかったエントリをクリックします。

   IAMSuiteAgentの詳細ページが表示されます。

5. 「アクセス・クライアント・パスワード」のパスワードを指定します。

6. 「適用」をクリックします。

7.10.1.3 ドメイン・エージェント用の構成

注意: これでIAMSuiteエージェントがパスワード認証付きで「オープン・モード」に表示されます。別のコンソールでIDMドメインのドメイン・エージェントを使用している場合は、次の変更を加えてドメイン・エージェントの使用を続行します。

1. WebLogic管理コンソールにログインします。

2. 「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。

3. myrealmをクリックします。

4. 「プロバイダ」タブをクリックします。

5. 認証プロバイダのリストからIAMSuiteAgentを選択します。

6. 「プロバイダ固有」をクリックします。

7. エージェントのパスワードおよびタイプを入力します。

8. 確認するために、「保存」をクリックします。

7.10.2 Oracle Access Managerの構成の検証

Oracle Access Managerの構成を検証するには、次の手順を実行します。

1. Oracle Access Manager管理コンソールにログインします。

2. 前述の手順で指定した認証スキームを編集します。これは、tapSchemeパラメータに対して指定した値です。

3. チャレンジURLが、tapRedirectUrlで指定した値に設定されていることを確認します。このURLの詳細は、表7-1「TAPパートナの例」を参照してください。

4. IAMSuiteAgentの設定を検証します。

5. OAAM_HOME/../<jdk160_24>/bin/java -jar OAAM_HOME/oam/server/tester/oamtest.jarにあるOAMテスターを起動します。

6. 次のサーバー接続の詳細を指定します。

   1. IPアドレス: OAM管理対象サーバー・ホスト

   2. ポート: OAM Oracle Accessプロトコル(OAP)ポート

   3. エージェントID: IAMSuiteAgent

   4. エージェント・パスワード: IAMSuiteエージェントの更新で指定したパスワード

   5. 「接続」をクリックします。

      サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。

7. 次のように保護されたリソースのURIを指定します。

   1. ホスト: IAMSuiteAgent

   2. ポート: 80

   3. リソース: /oamTAPAuthenticate

   4. 「検証」をクリックします。

      検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。

8. ユーザー・アイデンティティを指定して、「認証」をクリックします。認証に成功した場合は、設定が正常に行われています。

7.10.3 Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Adaptive Access Managerの構成

Oracle Access ManagerとOracle Adaptive Access Managerの統合を設定します。

1. OAAM CLIフォルダを作業ディレクトリにコピーします。

   cp -r OAAM_HOME/oaam/cli TEMP/oaam_cli

2. cliフォルダをコピーした作業フォルダに移動し、テキスト・エディタでTEMP/oaam_cli/cli/conf/bharosa_properties/oaam_cli.propertiesを開いて、表7-2のプロパティを設定します。

   表7-2 OAAM CLIのプロパティ

   パラメータ	詳細
   oaam.adminserver.hostname	これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ホストです。
   oaam.adminserver.port	これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ポートです。
   oaam.adminserver.username	これは、WebLogicサーバー・ドメインの管理サーバー・ユーザー名です(通常はweblogic)。
   oaam.adminserver.password	これは、oaam.adminserver.usernameプロパティで指定したユーザーのパスワードです。
   oaam.db.url	これは、次の形式で示されるOAAMデータベースの有効なJDBCのURLです。 jdbc:oracle:thin:@db_host:db_port:db_sid
   oaam.uio.oam.tap.keystoreFile	これは、registerThirdPartyTAPPartnerのWLSTによって生成されたキーストア・ファイルの場所です。 このファイルを、前述のWLSTでパラメータkeystoreLocationに指定された場所からコピーします。Oracle Access ManagerとOAAMが異なるマシン上にある場合は、OAMサーバーで作成したキーストア・ファイルをOAAMサーバーに手動でコピーし、OAAMサーバー上の場所をここで指定する必要があります。 Windowsでは、ファイル・パスの値をエスケープする必要があります。例: "C:\\oam-oaam\\tap\\keystore\]store.jks"
   oaam.uio.oam.tap.partnername	これは、WLST registerThirdPartyTAPPartnerコマンドで使用した「partnerName」です。たとえば、OAAMPartnerなどです。
   oaam.uio.oam.host	これは、OAMプライマリ・ホストです。
   oaam.uio.oam.port	これは、OAMプライマリNAP(ネットワーク・アサーション・プロトコル)/OAPポートです。これは、OAMサーバー・ポートです(デフォルト・ポート番号5575)。
   oaam.uio.oam.webgate_id	これは、IAMSuiteAgent値です。これは変更しないでください。
   oaam.uio.oam.secondary.host	これは、OAMセカンダリ・ホストです。
   oaam.uio.oam.secondary.host.port	これは、OAMセカンダリNAP/OAPポートです。

   
   

3. 環境変数ORACLE_MW_HOMEを、Oracle Adaptive Access ManagerがインストールされているWebLogic Serverインストールの場所に設定します。

   setenv ORACLE_MW_HOME <Location of WLS install where Oracle Adaptive Access Manager is installed>

4. 環境変数JAVA_HOMEを、WebLogicインストールに使用するJDKに設定します。

5. 次のコマンドを実行します:

   TEMP/oaam_cli/cli/setupOAMTapIntegration.sh TEMP/oaam_cli/cli/conf/bharosa_properties/oaam_cli.properties

7.10.4 Oracle Access ManagerでのOracle Adaptive Access Managerによるリソースの保護

Oracle Adaptive Access Managerでリソースを保護するには、次の手順に従います。

1. Oracle Access Manager管理コンソールにログインします。

2. 11g Webゲート登録の一環として作成されたアプリケーション・ドメインを確認します(この例では11gWG_abc1234567)。

3. 次の手順に従って、認証ポリシーを編集します。

   1. ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→「11gWG_abc1234567」→「認証ポリシー」を展開します。

   2. 「保護されたリソース・ポリシー」をクリックします。

      この例では、「11gWG_abc1234567」を除き、他のすべての文字列はOracle Access Managerでそのまま使用されます。

   3. 「認証スキーム」を、registerThirdPartyTAPPartnerコマンドでtapSchemeパラメータとして指定されたTAPスキームに更新します。

4. 「適用」をクリックして変更を保存します。

7.10.5 Oracle Access ManagerとOracle Adaptive Access Managerの統合の検証

保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Oracle Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。

7.11 Oracle Identity ManagerとOracle Adaptive Access Managerの統合

この項では、Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの3方向統合のために、Oracle Identity ManagerとOracle Adaptive Access Managerを統合する方法について説明します。

• Oracle Identity Manager用のOracle Adaptive Access Managerプロパティの設定

• 資格証明ストア・フレームワークでのOracle Identity Manager資格証明の設定

7.11.1 Oracle Identity Manager用のOracle Adaptive Access Managerプロパティの設定

Oracle Identity Manager用のOracle Adaptive Access Managerプロパティを設定する手順は、次のとおりです。

1. 次のURLにあるOAAM管理コンソールに移動します。

   http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin

2. プロパティ・エディタにアクセス可能なユーザーとしてログインします。

3. Oracle Identity Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。

   プロパティが存在しない場合は、追加する必要があります。

   次のプロパティについて、デプロイ内容に従って値を設定します。

   表7-3 Oracle Identity Managerのプロパティ値の構成

   プロパティ名	プロパティ値
   bharosa.uio.default.user.management.provider.classname	com.bharosa.vcrypt.services.OAAMUserMgmtOIM
   oaam.oim.auth.login.config	${oracle.oaam.home}/../designconsole/config/authwl.conf
   oaam.oim.url	t3://<OIM Managed Server>:<OIM Managed Port> 例: t3://host.oracle.com:14000
   oaam.oim.xl.homedir	${oracle.oaam.home}/../designconsole
   bharosa.uio.default.signon.links.enum.selfregistration.url	http://<OIM Managed Server>:<OIM Managed Port>/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION&backUrl=<OAAM Login URL for OIM> ここで、<OAAM Login URL for OIM>はhttp://<OHS host>:<OHS port>/oim/faces/pages/Self.jspxまたは(IDMDOMAINAgentの場合は)http://<OIM host>:<OIMport>/oim/faces/pages/Self.jspxです。 OHS設定は、Oracle Access ManagerとOracle Identity Managerとの間の統合中に実行されています。
   bharosa.uio.default.signon.links.enum.trackregistration.url	http://<OIM Managed Server>:<OIM Managed Port>/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST&backUrl=<OAAM Login URL for OIM> ここで、<OAAM Login URL for OIM>はhttp://<OHS host>:<OHS port>/oim/faces/pages/Self.jspxまたは(IDMDOMAINAgentの場合は)http://<OIM host>:<OIMport>/oim/faces/pages/Self.jspxです。 OHS設定は、Oracle Access ManagerとOracle Identity Managerとの間の統合中に実行されています。
   bharosa.uio.default.signon.links.enum.trackregistration.enabled	true
   bharosa.uio.default.signon.links.enum.selfregistration.enabled	true
   oaam.oim.csf.credentials.enabled	true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。

   
   

Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。

7.11.2 資格証明ストア・フレームワークでのOracle Identity Manager資格証明の設定

Oracle Identity Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。

1. http://weblogic_host:administration_port/emにあるOracle Fusion Middleware Enterprise Managerコンソールに移動します。

2. WebLogic管理者(たとえば、WebLogic)としてログインします。

3. 左側ペインのナビゲーション・ツリーで「<Base_Domain>」アイコンを展開します。

4. ドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。

5. 「マップの作成」をクリックします。

6. 「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。

7. ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。

8. 次のプロパティを指定し、「OK」をクリックします。

   表7-4 Oracle Identity Managerの資格証明

   名前	値
   マップ名	oaam
   キー名	oim.credentials
   キー・タイプ	パスワード
   ユーザー名	Oracle Identity Manager管理者のユーザー名
   パスワード	Oracle Identity Manager管理者のパスワード

   
   

7.12 統合用のOracle Identity Managerプロパティの構成

Oracle Identity Managerでは、チャレンジ質問に関連する機能を提供するために、システム・プロパティが構成されてOracle Identity ManagerではなくOracle Adaptive Access Managerが有効化されます。

Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合用にOracle Identity Managerのプロパティを変更するには、次の手順に従います。

1. Oracle Identity Manager管理コンソールにログインします。

2. セルフサービス・コンソールの「拡張」リンクをクリックします。

3. 「システム管理」で「システム・プロパティ」をクリックします。

4. 「拡張検索」をクリックします。

5. 次のプロパティを設定し、「保存」をクリックします。

   
   

   注意: これらのURLでは、Oracle Access Managerで構成したとおりにホスト名を使用します。たとえば、Oracle Access Managerの構成中に完全なホスト名(ドメイン名あり)を指定した場合は、URLに完全なホスト名を使用します。

   
   

   表7-5 Oracle Identity Managerのリダイレクト

   キーワード	プロパティ名および値
   OIM.DisableChallengeQuestions	TRUE
   OIM.ChangePasswordURL	Oracle Adaptive Access Managerにあるパスワード変更ページのURL (http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/oimChangePassword.jsp) 高可用性(HA)環境では、OAAMサーバーの仮想IP URLを指すようにこのプロパティを設定します。
   OIM.ChallengeQuestionModificationURL	Oracle Adaptive Access Managerにあるチャレンジ質問変更ページのURL (http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/oimResetChallengeQuestions.jsp)

   
   

7.13 IAMSuiteエージェント・アプリケーション・ドメインのアプリケーションにアクセスするためのTAPスキームの構成

注意: この項の手順は、IAMSuiteAgentアプリケーション・ドメインでTAPスキームを使用する場合にのみ実行する必要があります。

IAM Suiteドメインでアイデンティティ管理製品リソースにTAPスキーム、保護される上位レベルのポリシーを使用するには、次の構成を実行する必要があります。

1. Oracle Access Manager管理コンソールにログインします。

2. 「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→「IAMsuiteAgent」→「認証ポリシー」→保護される上位レベルのポリシーの順に選択します。

3. 「認証ポリシー」ページで、「リソース」タブからIAMSuiteAgent:/oamTAPAuthenticateを削除します。

4. 「適用」をクリックします。

5. IAMSuiteアプリケーション・ドメインに新しい認証ポリシーを作成します。

6. 「認証ポリシー」ページで、「認証スキーム」フィールドにあるLDAPSchemeを選択します。

7. IAMSuiteAgent:/oamTAPAuthenticationをリソースとして追加します。

8. 「適用」をクリックします。

7.14 トラブルシューティングのヒント

この項では、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合に関する追加のトラブルシューティングおよび構成のヒントについて説明します。

• ポリシーとチャレンジ質問

• Cookieドメインの定義

• OAMとOAAMの統合でTAPによりユーザー属性を変更できない

• TAP: setupOAMTapIntegrationスクリプトで終了ステータス・メッセージが提供されない

7.14.1 ポリシーとチャレンジ質問

Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。たとえば、「パスワードを忘れた場合」ページが表示されず、元のログイン・ページにリダイレクトされます。

操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。

7.14.2 Cookieドメインの定義

構成でCookieドメインの値が正しくない場合、ログインが失敗することがあります。

正しくWebゲートを操作するには、プロパティoaam.uio.oam.obsso_cookie_domainがOracle Access Managerの対応する値(たとえば、.us.oracle.com)に一致するように設定されていることを確認します。

7.14.3 OAMとOAAMの統合でTAPによりユーザー属性を変更できない

複数のアイデンティティ・ストアを伴う統合シナリオでは、デフォルト・ストアとして設定されたユーザー・アイデンティティ・ストアが認証およびアサーションに使用されます。異なるストアを指すようにデフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。

OAMとOAAMのTAP統合では、TAPScheme認証スキームのアサーションはデフォルト・ストアに対して行われます。この場合、LDAPモジュールに対して行われるバックエンド・チャネル認証では、特定のユーザー・アイデンティティ・ストア(たとえば、OID)が使用されます。ユーザー名がOracle Access Managerに返されると、アサーションはデフォルト・ストア(認証に使用されたものとは異なるOID)に対して行われます。

注意: セッション偽装のため、ユーザーおよび権限付与に使用されるOracle Internet Directoryインスタンスはデフォルト・ストアである必要があります。

デフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。そうしないと、認証は成功しても、最後のリダイレクトが次のエラーで失敗することがあります。

Module oracle.oam.user.identity.provider 
Message Principal object is not serializable; getGroups call will result in 
an extra LDAP call 

Module oracle.oam.engine.authn 
Message Cannot assert the username from DAP token

Module oracle.oam.user.identity.provider 
Message Could not modify user attribute for user : cn, attribute :
userRuleAdmin, value : {2} .

7.14.4 TAP: setupOAMTapIntegrationスクリプトで終了ステータス・メッセージが提供されない

Oracle Access ManagerとOracle Adaptive Access Managerの統合のためにOracle Adaptive Access Managerを構成するsetupOAMTapIntegrationスクリプトを実行する場合、スクリプトが正常に完了したか失敗したかを示すメッセージが提供されません。