| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
登録されたポリシー強制エージェントのみが、OAM 11gの認証および認可サービスと通信できます。管理者は、保護するパートナ・アプリケーションをホスティングするコンピュータに存在するエージェントを登録する必要があります。パートナ・アプリケーションとは、認証機能をSSOプロバイダ(Oracle Access Manager 11g)に委任して、複数のリソースにアクセスする際にユーザーが再度認証しなくて済むようにするものです。
この章では、Oracle Access Managerコンソールを使用したエージェント登録および管理の実行を中心に説明します。この章には次のトピックが含まれます。
この章のタスクを実行する前に、Oracle Access Managerコンソールと管理対象OAMサーバーが実行中であることを確認してください。
この章にあるタスクのナレッジ・ベースの要件は、次のとおりです。
「ポリシーの強制エージェントの概要」を見直してください。
OAM 10g Webgateを登録する場合は、第27章「OAM 10g WebgateとOAM 11gの管理」を確認してください。
この項では、アクセス・クライアント(ポリシー強制エージェント)と、エージェントとOracle Access Manager 11g SSO間の信頼メカニズムを設定するために必要な登録プロセスの情報を提供します。
Oracle Access Manager 11gでは、それぞれのポリシー強制エージェントはHTTPリクエストのフィルタとして機能します。デプロイメントには次のエージェントを任意の組合せで含めることができます。
OAMエージェント:
OAM 11G Webgate
OAM 10G Webgate
プログラム・アクセス・クライアント
OSSOエージェント: mod_ossoは、中央のOSSOサーバーでユーザーを認証する(引き続き)OracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。
10g mod_ossoをエージェントとして登録した後、OAM 11gはリソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザーのためのリダイレクトURLを渡します。
|
注意: mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。 |
特に明記しないかぎり、OAMエージェントの詳細はWebgateとアクセス・クライアントに同様に適用されます。
Webgateは設定不要のアクセス・クライアントです。このWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOAM 11gサーバーに転送します。様々なWebサーバーのWebgateは、Oracle Access Managerに同梱されています。
非Webアプリケーションと併用するように作成されるカスタム・アクセス・クライアントは、別途ソフトウェア開発キット(SDK)を使用して、ユーザーまたはオラクル社が開発する必要があります。アクセス・クライアントは、ユーザーやアプリケーションからのWebおよびWeb以外(非HTTP)のリソースに対するリクエストを処理します。
表9-1は、OAM 11gのすべてのエージェントに関する情報を示します。
表9-1 OAM 11gのエージェント
| エージェント | 説明 |
|---|---|
|
OSSOエージェント(mod_osso 10g) |
OAM 11gに登録された後、mod_ossoモジュールは次の処理を行います。
|
|
11g Webgate |
OAM 11gへのインストールと登録が終わった後、11g WebgateはOAMプロキシを使用してOracle Access Manager 11gサービスと通信し、リクエストを"掃除"して、すべてのエージェントに同じように応答します。 11gアクセス・クライアント(OAM 11g Access SDKで作成されたもの)も登録できます。 |
|
10g Webgate |
インストールおよび登録の後、OAM 10g Webgateはブリッジとして機能するJavaベースのOAMプロキシを通じてOracle Access Manager 11gサービスと直接通信します。OAM 10G Webgateには、次のものが含まれます。
この表の「IAMSuiteAgent」も参照してください。 |
|
アクセス・クライアント |
認証と認可のみがアクセス・クライアント用です(ポリシー変更は対象外です)。 |
|
IAMSuiteAgent |
IAMスイート・エージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントとその付属アプリケーション・ドメイン(IAMSuite)は、以前のIDMドメイン・エージェントとその付属アプリケーション・ドメインにかわるものです。 |
表9-2は、OAM 11gと互換性のあるエージェント・タイプの比較、およびOAM 11gと以前のエージェントとの違いを説明しています(列ごとに記載)。
表9-2 エージェント・タイプの比較および違い
| OAM 11g | OAM 10g | OSSO 10g | |
|---|---|---|---|
|
使用可能なSSOエージェント |
OAMエージェント
OSSOエージェント
|
Webgateとアクセス・ゲート
OAM 10gの場合、WebgateのインストールにはWebサーバーの構成が含まれていました。 |
|
|
リモート登録ツール |
oamregツールを使用して、OAM 11gにOAM 10gおよび11gのエージェントを登録します。 <OAM_HOME>/oam/server/rreg/ client/rreg/bin/oamreg |
OAM 10gに該当するものはありません。 |
oamregツールを使用して、OAM 11gにOSSOエージェントを登録します。 注意: OAM 11g以前はリモート登録に該当するものはありませんでした。 |
|
ログイン・フォーム |
/oam/pages/css/login_page.css |
10g Webgateで同梱され使用されたログイン・フォームは、OAM 11gには適していません。 |
変更なし |
|
logout.html |
10gおよび11gのエージェントのログアウトの構成の詳細は、第15章を参照してください。 |
10g WebgateとOAM 11gを併用する場合、logout.htmlでは特定の詳細が必要です。第15章を参照してください。 |
mod_osso(OSSOエージェント)を持つOAM 11gでは変更は必要ありません。 動的ディレクティブを使用するアプリケーションは、mod_osso.confにエントリを必要としません。代わりに、1つまたは複数の動的ディレクティブとして保護がアプリケーションに書き込まれます。 |
|
複数のネットワーク・ドメインのサポート |
OAM 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Identity Federationを使用することをお薦めします。 |
OAMには、Oracle Identity Federationより前から存在する独自の複数ネットワーク・ドメインSSO機能があります。これがOAM 10gデプロイメントに実装されている場合、OAM 10gエージェントをOAM 11gに登録すればこのサポートを引き続き受けられます。 |
|
|
暗号化キー 注意: インターネット上での情報交換の保護に使用されるプロトコル。 |
注意: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 |
OAMデプロイメントごとにグローバルで共有される秘密鍵が1つあり、これがすべてのWebgateで使用されます。 |
|
|
キー・ストレージ |
|
ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(Webgateに対してはアクセス不可) |
|
管理者はOracle Access Managerコンソールまたはリモート登録ツールを使用して、次のことを実行できます。
新しくインストールされたOAM 11g Webgateの登録
OAM 11gと使用するためのレガシー(または新しくインストールされた)OAM 10 Webgateのプロビジョニング。詳細は第27章に記載されています。
OSSO 10gエージェント(mod_osso)の登録
|
注意: 『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』の説明のとおりに、OracleAS 10g SSOをアップグレードできます。アップグレード中に、OSSOエージェントがOAM 11gに登録されます。付録A「共存の概要: OAM 11gとOSSO 10g」を参照してください。 |
このエージェントと、付属アプリケーション・ドメイン(第13章を参照)は、パッチ・セット・リリースで使用できます。これらの定義は変更しないことをお薦めします。
|
注意: 従来のIDMDomainAgentは、このパッチ・セットでは利用できません。パッチ・セットの適用後は、アーティファクトとして残ります。ただし、内容はすべて削除されます。 |
IAMSuiteAgentは、IDM管理コンソールにシングル・サインオン機能を提供します。IAMSuiteAgentは、Oracle Access Manager 11g Serverのインストールと構成の一部としてインストールされ、事前構成されています。
IAMSuiteAgentは、ドメイン全体のエージェントです。
一度デプロイされると、IAMSuiteAgentはドメイン内のすべてのサーバーにインストールされます。
無効にしないかぎり、WebLogicアプリケーション・サーバーに入ってくるすべてのリクエストは、IAMSuiteAgentによって評価および処理されます。
構成の詳細は、Oracle Access Managerコンソールの「10g Webゲート」ノード(「ポリシー構成」タブ)の下にあります。
特定のIAMSuiteAgent構成の要素はWebLogic管理コンソール(「セキュリティ・プロバイダ」セクション)に、その他の要素はOracle Access Managerコンソールにあります。
WebLogic管理コンソール、「セキュリティ・プロバイダ」の設定
WebLogic管理コンソールの「セキュリティ・プロバイダ」セクションには、ブートストラップ構成パラメータが5つあります。
これらは変更せずに保持することをお薦めしますが、次のパラメータのいずれかを変更することが必要な場合があります。
プライマリOAMサーバー: この値は、実際のOAMサーバーの情報で置き換えることができます。複数のホストがIDMドメインの一部である場合は、デフォルト値(localhost:5575)を実際のOAMサーバーの情報で置き換えます。エージェント・パスワード: デフォルトでは、パスワードはありません。ただし、NetPoint (現在はOracle) Access Protocol (NAPまたはOAP)を介してOAMサーバーにIAMSuiteAgent接続するときのパスワードを確立する場合には、ここで追加できます。
図9-1は、IAMSuiteAgentのデフォルトの「セキュリティ・プロバイダ」の設定を示します。
Oracle Access Managerコンソール、IAMSuiteAgentの登録
IAMSuiteAgentの登録ページには、他のOAMエージェント登録ページと同様、エージェントに関する詳細が表示されます。
セキュリティ・モード: IAMSuiteAgentで使用できるセキュリティ・モードは「オープン」のみです。これは変更できません。
優先ホスト: IAMSuiteAgentはあらかじめ構成されたホストで、このエージェントで必要です。
|
注意: ここのアクセス・クライアント・パスワードは、WebLogic管理コンソールのエージェント・パスワードと一致する必要があります。エージェント・パスワードを変更した場合、アクセス・クライアント・パスワードも変更する必要があります。 |
図9-2に、「IAMSuiteAgent」ページを示します。「ユーザー定義パラメータ」は、WebLogicサーバーのコンテナ・ポリシーにフォール・バックする動作を通知し、ログアウトのためのリダイレクトURLを提供します。
表9-3は、IAMSuiteAgent、11g Webgate、10g Webgateの3つの違いを示しています。すべての要素は、表9-5「展開されたOAM 11gおよび10g Webgateエージェントの要素とデフォルト」に記載されています。
表9-3 IAMSuiteAgent、11g Webgate、10g Webgateの比較
| 要素 | 11g Webgate | 10g Webgate | IAMSuiteAgent |
|---|---|---|---|
|
プライマリCookieドメイン |
なし |
× |
× |
|
トークンの有効期間 |
× |
なし |
なし |
|
優先ホスト |
× |
× |
× |
|
ログアウトURL |
× |
× |
× |
|
ログアウト・コールバックURL |
× |
なし |
なし |
|
ログアウト・リダイレクトURL |
× |
なし |
なし |
|
ログアウト・ターゲットURL |
× |
なし |
なし |
|
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー |
× × |
× × |
× × |
|
ユーザー定義パラメータ |
proxySSLHeaderVar=IS_SSL URLInUTF8Format=true client_request_retry_attempts=1 inactiveReconfigPeriod=10 |
proxySSLHeaderVar=IS_SSL URLInUTF8Format=true client_request_retry_attempts=1 inactiveReconfigPeriod=10 |
fallbackToContainerPolicy=true logoutRedirectUrl=http://hostname.domain.com:14100/oam/server/logout protectWebXmlSecuredPagesOnly=true |
|
保護されていない場合に拒否 |
× |
× |
× |
図9-3は、IAMSuiteAgentによって保護されるリソースと、正確な認証ポリシーおよび認可ポリシーを示しています。追加や変更は一切行わないことをお薦めします。WebLogic管理コンソール(/console)は保護されています。
第27章「OAM 10g WebgateとOAM 11gの管理」で説明されているとおり、このエージェントは10g Webgateに置換できます。
登録されたポリシー強制エージェントのみがOAMサーバーと通信でき、保護されたリソースにユーザーがアクセスを試みるときに情報を処理します。
管理者は、保護するアプリケーションをホスティングするコンピュータに存在するOAMエージェントまたはOSSOエージェントを登録する必要があります。アプリケーション・ドメインとデフォルトのポリシーを自動的に作成することで、エージェントの登録にパートナの登録を含めることができます。
登録の後、エージェントの詳細がOracle Access Managerコンソールに表示され、クラスタ内のすべての管理対象サーバーに伝播されます。エージェント登録時にポリシーを自動作成するよう選択した場合、パートナ・アプリケーションに登録されたアプリケーション・ドメインとポリシーを表示、管理することもできます。
|
注意: エージェントの登録は、「パートナ・アプリケーションの登録」または「パートナ・アプリケーションのOAMへの登録」ともいいます。 |
登録時に、エージェントは自身が保護するアプリケーションと同じWebサーバー上にあると想定されます。ただし、エージェントがプロキシWebサーバー上にあったり、アプリケーションが異なるホスト上にあることも可能です。
エージェント登録時:
エージェントごとに1つのキーが生成され、クライアント・ホスト上のローカル・ウォレット・ファイルを介してWebgateから、サーバー側ではJavaキーストアを介してOAMサーバーからそれぞれアクセス可能になります。
エージェント固有のキーは、クライアント・マシン上の保護されたローカル・ストレージを介してWebgateからアクセス可能であることが必要です。表9-2を参照してください。
キーは、登録時にパートナ(アプリケーション)に対して生成されます。(10g Webgateを除きます)。
OAMアプリケーション・ドメインが作成されて、エージェントにちなんだ名称が付けられ、デフォルトの認証および認可ポリシーが移入されます。新しいアプリケーション・ドメインは、登録中にエージェントに対して指定されたものと同じホスト識別子を使用します。アプリケーション・ドメインの詳細は、第13章を参照してください。
登録の後、エージェントはWebサイトにアクセスする試みをモニターし、リクエストを完了する前にOAMサーバーを使用して認証および認可サービスを提供できます。管理者は、Oracle Access ManagerコンソールまたはカスタムのOAM 11g用WLSTコマンドを使用して、登録されたエージェントの表示、変更および削除が可能です。
詳細は、次を参照してください。
Oracle Access Managerコンソールを使用してエージェントを登録すると、Oracle Access Managerコンソール・ホストに、エージェントのためのファイル・システム・ディレクトリが新規作成されます。
<MW_HOME>/user_projects/domains/<domain_name>/output/<agent_name>
この新しいディレクトリには、エージェントのインストール・ディレクトリにコピーする必要がある、登録済エージェントに生成されたファイルが格納されます。
11g Webgate/アクセス・クライアント: 生成されたファイルをWebgate_instance_dir/webgate/config (たとえば、WebTier_Middleware_Home/Oracle_WT1/instances/instance1/config/OHS/ohs1/webgate/config)にコピー
10g Webgate/アクセス・クライアント: 生成されたファイルをWebgate_install_dir/access/oblix/libにコピー
mod_osso: 生成されたファイルをOHS_webserver_dir/oracle/product /11.1.1/as_1/instances/instance1/config/OHS/ohs1/osso/にコピー
生成されたファイルには次が含まれます。
ObAccessClient.xml (Webgateの場合)
事前登録されたIAMSuiteAgentは、ブートストラップや構成にObAccessClient.xmlを使用しません。
OAM 10gでは、configureWebgateツールの実行時にエージェント側でObAccessClient.xmlが生成されていました。Oracle Access Managerコンソールまたはリモート登録ツールを使用して、ObAccessClient.xmlを作成できます。
cwallet.sso(トランスポート・セキュリティ・モードに関係なく11g Webgateの場合)
安全な通信のための証明書とパスワード(必要な場合)。たとえば、password.xmlファイルやaaa_cert.pem、aaa_key.pemファイルなど。
|
注意: 11g Webgateの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。 |
osso.confファイル(OSSOエージェントの場合)
Webgateの起動前に、ObAccessClientファイルを、生成元の場所からWebgateインスタンスをホストするコンピュータ上のWebgateのインストール先ディレクトリにコピーします。
Webgateの実行時に、定期的な更新チェックの際に変更が発見されると、ObAccessClientファイルが自動的に更新されます。
最小限に暗号化されたファイルに格納される簡易モードのグローバル・パスフレーズ: password.xml
証明書モード:
PEMキーストア別名
PEMキーストア別名パスワード
この項では、Oracle Access Managerコンソールを使用してOAMエージェントを管理する方法について説明します。この項の内容は次のとおりです。
|
関連項目: 必要に応じて次の章を参照してください。 |
OAM nng Webゲートの作成ページでは、登録を合理化するために最小限の情報が要求されます。アスタリスク(*)は必須の詳細です。図9-4に示す11g Webgateのページと、図9-5に示す「OAM 10G Webゲートの作成」ページを比較してください。
OAM 11g Webgateと10g Webgateのどちらを登録する場合でも、図9-5に示すように、最初に要求される情報はほぼ同じです。
表9-4は、10g Webgateと11g Webgateの作成ページを示しています。
表9-4 OAM 10g WebgateとOAM 11g Webgateの作成ページ
| OAMエージェントの要素 | 説明 |
|---|---|
|
名前 |
このエージェント登録を一意に識別できる名前。ほとんどの場合、Webgateに使用されるWebサーバーをホストするコンピュータ名です。 各エージェント登録を一意に識別する名前が推奨されます。ただし、次のことに注意してください。
|
|
ベースURL オプション |
WebgateのWebサーバーがインストールされるコンピュータのホストおよびポート。たとえば、http://my_host:port or https://my_host:portとなります。ポート番号はオプションです。 注意: 特定のベースURLは、一度のみ登録できます。このベースURLからWebgateがインストールされているWebサーバー・ドメイン(<hostidentifier>要素で指定)へのマッピングは、1対1です。ただし、1つのドメインが複数のベースURLを持つことができます。 |
|
アクセス・クライアント・パスワード オプション |
このWebgateのオプションかつ一意のパスワードで、この登録プロセス中に割り当てられています。 登録されたWebgateがOAM 11gサーバーに接続するときは、認可されていないWebgateがOAM 11gサーバーに接続してポリシー情報を取得しないように、認証にこのパスワードが使用されます。 |
|
エージェントおよびOAMサーバー間の通信トランスポート・セキュリティのレベル(OAMサーバーに指定されたレベルと一致する必要があります)
注意: 簡易モードと証明書モード、DESアルゴリズムを使用した秘密鍵の暗号化の詳細は、付録Eを参照してください。 |
|
|
ホスト識別子 |
この識別子はWebサーバー・ホストを表します。 関連項目: 「仮想Webホスティングについて」 |
|
ユーザー定義パラメータ |
特定のWebgateの動作を有効にするために入力できるパラメータ。 |
|
仮想ホスト |
複数のWebサイトとドメイン名を含むWebサーバー上にWebgateをインストールした場合は、「仮想ホスト」の横にあるボックスを選択します。Webgateは、サーバー上のすべてのWebサイトを保護できる場所にインストールする必要があります。 関連項目: 「仮想Webホスティングについて」 |
|
ポリシーの自動作成 |
エージェントの登録時に、認証と認可のポリシーを自動的に作成できます。このオプションは、デフォルトでチェック(有効)されています。 デフォルト: 有効 注意: ドメインおよびポリシーをすでに登録している場合、新しいリソースを追加できます。このオプションを解除(チェックなし)すると、アプリケーション・ドメインやポリシーは自動的に生成されません。 |
|
IPの検証 |
「IPの検証」の横にあるボックスを選択し、クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。「IPの検証例外」ボックスに、検証から除外するIPアドレスを標準的なアドレス表記(例: 10.20.30.123)で入力します。 これを有効にした場合は、ObSSOCookieに格納されているIPアドレスがクライアントのIPアドレスに一致する必要があります。一致しない場合はCookieが拒否され、ユーザーは再認証が必要になります。 デフォルト: 無効 関連項目: 「Webgate用IPアドレスの検証について」 |
|
エージェント・キー・パスワード |
このパスフレーズは、証明書モードの通信でのみ要求され、簡易モードと証明書モードでWebgateとOAMサーバーとの間のSSL通信に使用する秘密鍵を暗号化する際に使用されます。 注意: 「エージェント・キー・パスワード」は、この表で既出の「アクセス・クライアント・パスワード」とは関係ありません。 簡易モード: このモードの場合、エージェント・キー・パスワードはグローバル・パスフレーズであり、クライアントとサーバーの両方で同じであることが必要です。OAMサーバーをこの構成にすると、エージェント登録の際にパスワードを取得できます。ただし管理者は、エージェント登録の際に生成されるpassword.xmlファイルをクライアント側にコピーする必要があります。 証明書モード:: このモードの場合、エージェント・キーはグローバルではないため、クライアントとサーバーで同じである必要はありません。管理者は、エージェント登録時のpassword.xmlファイルの生成を有効にし、password.xmlファイルがエージェント側にコピーされるように、エージェント・キー・パスワードを入力する必要があります。証明書を生成するには、openSSLや他のサード・パーティ製ツールでこのパスワードを使用して秘密鍵(SSLに使用する)を暗号化し、aaa_key.pem内に格納する必要があります。実行時には、Webgateがこのキーをpassword.xmlから取得し、aaa_key.pemのキーを復号化します。
詳細は、付録Eを参照してください。 |
|
リソース・リスト |
|
|
保護されているリソース(URI)リスト |
保護されているアプリケーションのURI: /myapp/loginなど。保護されているアプリケーションの各URIは、保護されているリソース・リストの表の新しい行で指定する必要があります。 デフォルト: 2つのリソースがデフォルトで保護されます。 /.../* / デフォルトは、複数のディレクトリにまたがるゼロまたは複数の中間レベル内にある任意の文字シーケンスに一致します。 関連項目: 「リソースのURLについて」 |
|
パブリック・リソース(URI)リスト |
それぞれのパブリック・アプリケーションは、パブリック・リソース・リストの表の新しい行で指定する必要があります。 フィールドを追加して、パブリック・アプリケーションとリソースのURI値を入力してください。それぞれのURIは、パブリック・リソース・リストの表の新しい行で指定する必要があります。 |
Webgate登録を合理化するために、追加の要素は非表示になりデフォルト値が適用されます。コンソールでWebgate登録ページを表示または編集する際には、図9-6のようにすべての要素と値が表示されます。ほとんどの要素はリモート登録ツールを使用して定義する場合と同じですが、第10章で説明されているとおり、OAMテンプレートが拡張されます。
表9-5は、展開された登録の要素をまとめています。ここに表示された追加設定は、OAMプロキシにより使用されます。ObAccessClient.xmlは、ここに記載されているようにOracle Access Managerコンソールを使用するか、または第10章にあるようにリモート登録ツールを使用するかにかかわらず、エージェントの登録後に値が移入されます。
表9-5 展開されたOAM 11gおよび10g Webgateの要素とデフォルト
| OAMエージェントの要素 | 説明 |
|---|---|
|
名前 |
このWebgate登録の名前。 |
|
オプションで一意のOAMエージェントのパスワード。エージェントがOAMサーバーに接続する場合、サーバーに対して自身を認証するときにこのパスワードを使用します。これによって、認可されていないエージェントが接続してポリシー情報を取得するのを防ぎます。 |
|
|
10g Webgateのみ |
このパラメータは、OAMエージェントがデプロイされるWebサーバー・ドメインを記述します。たとえば、acompany.comなどです。 Webサーバーでシングル・サインオンを有効にするために、cookieドメインを構成する必要があります。特に、シングル・サインオンを構成する対象のWebサーバーには、同じプライマリCookieドメインの値が必要です。OAMエージェントは、ObSSOCookie認証cookieを作成するためにこのパラメータを使用します。 このパラメータは、Cookieドメインに参加してObSSOCookieを受信および更新する機能を持つWebサーバーを定義します。このCookieドメインはObSSOCookieの移入に使用されず、ObSSOCookieの有効なドメインおよびObSSOCookieの内容を承認および変更する機能を持つWebサーバーを定義します。 デフォルト: 登録中にクライアント側のドメインを決定できる場合、プライマリCookieドメインがその値で移入されます。ただし、ドメインが見つからない場合、値が存在しないのでWebgateはホストベースのCookieを使用します。 注意: ドメイン名が一般的なほど、シングル・サインオンの実装が包括的になります。たとえば、b.comをプライマリcookieドメインに指定した場合、ユーザーはb.comとa.b.com上のリソースに対してシングル・サインオンを実行できるようになります。しかし、a.b.comをプライマリcookieドメインに指定すると、ユーザーはb.com上のリソースをリクエストする場合、再び認証しなければならなくなります。 |
|
Oracle Access Managerコンソールでのみ設定 |
OAMエージェントが有効か無効かを指定します。 デフォルト = 有効 |
|
キャッシュに保持される要素数。キャッシュは次のとおりです。
この設定の値は、これらのキャッシュの要素の最大合計カウントを参照します。 デフォルト = 100000 |
|
|
キャッシュされた情報が使用も参照もされないとき、Webgateのキャッシュ(認証スキームに対するリソース、認証スキーム、11g Webgateのみの認可ポリシーに対するリソース)にその情報が残る時間。 デフォルト = 1800(秒) |
|
|
ユーザー定義パラメータ 11g Webgateのみ |
関連項目: 「ユーザー定義のWebgateパラメータについて」、「10gおよび11g Webgateキャッシュのチューニング」 |
|
11g Webgateのみ |
エージェント・トークン(11g WebgateのOAMAuthnCookieの内容)の有効な最大時間。 デフォルト = 3600(秒) 注意: OAM 10g Webgateの場合、「トークンの有効期間」を設定するには、「Cookieセッション時間」を使用してください。 |
|
このOAMエージェントがOAMサーバーと確立できる最大接続数。この数値は、実際にこのエージェントと関連付けられる接続数と同じか、それ以上でなければなりません。 デフォルト = 1 |
|
|
アクティビティにかかわりなく、ユーザーの認証セッションが有効でいられる最長時間を秒単位で表す。このセッション時間が満了した場合、ユーザーは認証のための情報を提示するよう再要求されます。これは、強制ログアウトです。 デフォルト = 24(時間) 値0を指定すると、このタイムアウト設定は無効になります。 |
|
|
このOAMエージェントが、接続をセカンダリOAMサーバーに開くポイントを表す数値。 デフォルト = 1 たとえば、このフィールドに30と入力して、プライマリOAMサーバーへの接続数が29の場合、このOAMエージェントはセカンダリOAMサーバーへの接続を開きます。 |
|
|
OAMサーバーからの応答を待つ時間(秒)。このパラメータが設定されている場合、デフォルトのTCP/IPタイムアウトではなく、アプリケーションのTCP/IPタイムアウトとして使用されます。 デフォルト = -1(デフォルトのネットワークTCP/IPタイムアウトが使用されます) このパラメータの標準的な値は、30から60秒です。非常に小さい値に設定すると、OAMサーバーからレスポンスを受信する前にソケット接続がクローズし、エラーが生じる可能性があります。 たとえば、OAMエージェントが1つのプライマリOAMサーバーと1つのセカンダリOAMサーバーに通信するように構成されているとします。ネットワークのワイヤーがプライマリOAMサーバーから引き抜かれた場合、OAMエージェントはプライマリOAMサーバーへの接続がないことを知るために、TCP/IPタイムアウトの間だけ待ちます。Webgateは、プライマリOAMサーバーから順に、使用可能なサーバーに対して接続の再確立を試行します。このときも、接続が確立可能かどうかを判断するために、OAMエージェントはTCP/IPタイムアウトの間だけ待機します。確立できない場合は、リストの次のサーバーに対して接続を試行します。別のOAMサーバー(プライマリまたはセカンダリ)への接続が確立できる場合、リクエストは再ルーティングされます。ただし、これには必要以上の時間がかかる可能性があります。 新しい接続を検索する際、OAMエージェントは使用可能なサーバーのリストを、構成で指定した順に確認します。プライマリOAMサーバーが1つとセカンダリOAMサーバーが1つずつ指定されていて、プライマリOAMサーバーの接続がタイムアウトした場合、OAMエージェントはまだプライマリOAMサーバーを先に試します。結果的に、OAMエージェントはOAMサーバー・タイムアウトのしきい値設定の2倍を超える期間だけ、リクエストをOAMサーバーに送信できません。 OAMサーバーがリクエストにサービスを提供するのに、タイムアウトのしきい値よりも長い時間がかかる場合、OAMエージェントはリクエストを放棄して、新しい接続でそのリクエストをやり直します。接続プールから返された新しい接続は、接続プールの設定に応じて、同じOAMサーバーへのものとなることがあります。また、しきい値で指定された時間よりも、他のOAMサーバーがリクエストの処理に時間がかかることもあります。この場合、OAMエージェントはOAMサーバーが停止するまで、リクエストを引き続き再試行できます。 |
|
|
アイドル・セッション・タイムアウト 10g Webgateのみ |
デフォルト: 3600 リリース7.0.4のWebgateは、独自のアイドル・セッション・タイムアウトのみを強制していました。 10.1.4.0.1 Webgateは、トークンが訪問したすべてのWebgateの中で、最も制限の多いタイムアウト値を強制しました。 10g(10.1.4.3)では、この要素のデフォルトとして、7.0.4の動作が復活しました。 idleSessionTimeoutLogicを設定する手順
|
|
優先ホスト |
ユーザーが保護されたWebサーバーにアクセスしようとしたときに、すべてのHTTPリクエストでホスト名がどう表示されるかを指定します。HTTPリクエストのホスト名は、ユーザーのHTTPリクエストでの定義に関係なく、このフィールドへの入力値に変換されます。 優先ホストの機能によって、ホストの識別子がホスト識別子リストに含まれていない場合に間違って作成される可能性があるセキュリティ・ホールを防止します。ただし、仮想Webホスティングでは使用できません。仮想ホスティングの場合、ホスト識別子の機能を使用する必要があります。 デフォルトは(Webgate登録の)名前です。 |
|
ログアウトURL |
ログアウトURLはログアウト・ハンドラをトリガーします。ログアウト・ハンドラはCookieを削除し(10g WebgateではObSSOCookie、11g WebgateではOAMAuthnCookie)、Oracle Access Managerに保護されたリソースにユーザーが再アクセスしたときに改めて認証を要求します。
デフォルト = 注意: これは、最初のログアウトをトリガーするために使用される標準OAM 10g Webgate構成パラメータです。 関連項目: 第15章: OAM 11gに登録されたOAM 10g Webgateでのログアウトの構成に必要なその他の手順 |
|
11g Webgateのみのその他のログアウト |
OAM 11g Webgateシングル・サインオフの動作については、特定のログアウト要素と値によって、集中ログアウトURL、コールバックURLおよびend_URLへのリダイレクトが自動化されます。これは、カスタマイズされたローカルのログアウト・ページからのみ、10g Webgateのシングル・サインオンを置き換えます。 |
|
ログアウト・コールバックURL 11g Webgateのみ |
コールバック中にCookieを消去するoam_logout_successのURL。これには、host:portのないURI形式を指定でき(推奨)、この場合、OAMサーバーは元のリソース・リクエストのhost:portでコールバックします。たとえば、次のようになります。 デフォルト = /oam_logout_success host:portを持つ完全なURLフォーマットを使用できます。この場合、OAM 11gサーバーはコールバックURLを再構築せずに、直接コールバックします。 リクエストURLがログアウト・コールバックURLに一致したとき、Webgateは自身のcookieを消去してレスポンスで.gifイメージをストリーミングします。これはOSSOエージェントの動作に似ています。 Webgateがサーバーのログアウト・ページにリダイレクトすると、"end" URLが問合せパラメータ( 他のOAM 11gサービスは、サーバー上の中央のログアウト・ページをサポートします。end_urlは、OPSSが統合されたアプリケーションから渡されるターゲットURLの問合せパラメータに依存します。 |
|
ログアウト・リダイレクトURL 11g Webgateのみ |
このパラメータはエージェントの登録完了後に自動的に格納されます。デフォルトでは、これはデフォルト・ポートが14200のOAMサーバー・ホスト名に基づいて決定されます。たとえば、次のようになります。 デフォルト = http://OAMServer_host:14200/oam/server/logout ログアウトURLはログアウト・ハンドラをトリガーします。ログアウト・ハンドラはOAMAuthnCookie_<host:port>_<random number>を削除し、Oracle Access Managerに保護されたリソースにユーザーが再アクセスした時に改めて認証を要求します。 |
|
ログアウト・ターゲットURL 11g Webgateのみ |
この値は、ログアウト中にOPSSアプリケーションがWebgateに渡す問合せパラメータの名称です。問合せパラメータは、ログアウト完了後に移動するページのターゲットURLを指定します。 デフォルト: end_url |
|
ユーザー定義パラメータ |
特定のWebgateの動作を有効にするために入力できるパラメータ。 デフォルト: proxySSLHeaderVar=IS_SSL URLInUTF8Format=true client_request_retry_attempts=1 inactiveReconfigPeriod=10 |
|
スリープ時間 |
OAMサーバーでディレクトリ・サーバーとの接続を確認する頻度(秒)。たとえば、この値を60秒に設定した場合、OAMサーバーは起動した時点から60秒ごとにその接続をチェックします。 デフォルト: 60(秒) |
|
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー Webgateのみ(アクセス・クライアントを除く) |
この設定は、Webgateのみに適用して、ブラウザのキャッシュを制御します。 デフォルトでは、どちらのパラメータもキャッシュなしに設定されます。これにより、WebgateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 ただし、サイトがWebgateで保護されている場合、これはPDFファイルのダウンロードやレポート・ファイルの保存など、特定の操作にとって妨げとなることがあります。 Webgateが異なるレベルで使用するAccess Manager SDKキャッシュを設定できます。詳細は、http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlの14.9項を参照してください。 すべてのキャッシュ・レスポンス・ディレクティブが許可されます。たとえば、PDFファイルのダウンロードを許可するには、両方のキャッシュの値をpublicに設定する必要があります。 デフォルト: キャッシュなし |
|
IPの検証 |
「IPの検証」の横にあるボックスを選択し、クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。「IPの検証例外」ボックスに、検証から除外するIPアドレスを標準的なアドレス表記(例: 10.20.30.123)で入力します。 これを有効にした場合は、ObSSOCookieに格納されているIPアドレスがクライアントのIPアドレスに一致する必要があります。一致しない場合はCookieが拒否され、ユーザーは再認証が必要になります。 デフォルト: 無効 関連項目: 「Webgate用IPアドレスの検証について」 |
|
保護されていない場合に拒否 Webgateのみ(アクセス・クライアントを除く) |
「保護されていない場合に拒否」は有効にすることをお薦めします。 この要素を有効にすると、ルールまたはポリシーでアクセスが明示的に許可されていないすべてのリソースへのアクセスが拒否されます。WebgateがOAMサーバーに問い合せる回数を制限できるため、大規模またはアクセスの多いアプリケーション・ドメインのパフォーマンスを向上させることができます。
重要: 「保護されていない場合に拒否」は、「ホスト識別子」および「優先ホスト」をオーバーライドします。「保護されていない場合に拒否」は有効にすることをお薦めします。有効にしない場合、複数のホスト識別子、仮想ホストおよびその他の複雑な構成を持つ大規模なインストールで、セキュリティ・ホールが発生する可能性があります。 |
|
管理操作の許可 |
このエージェント権限機能で、次のようなエージェントごとのセッション操作のプロビジョニングを有効にできます。
デフォルト: 無効 注意: セッション管理の操作を呼び出せるのは、権限のあるエージェントのみです。このパラメータを有効にすると、セッション管理のリクエスト(上のリスト)がOAMサーバーによって処理されます。無効にすると、エージェントに対してこのリクエストは拒否されます。 |
|
プライマリ・サーバー・リスト |
このエージェントのプライマリ・サーバー・リストを識別します。デフォルトは、OAMサーバーに基づきます。
|
|
セカンダリ・サーバー・リスト |
このエージェントのセカンダリOAMサーバーの詳細を識別します。手動で指定する必要があります。
|
ユーザー定義パラメータを実装するには、表9-6に示すように、Webgate登録ページで入力する必要があります。
表9-6 ユーザー定義のWebgateパラメータ
| パラメータ | 説明 |
|---|---|
|
UrlInUTF8Format=true |
Oracle HTTP Server 2を使用する環境では、このパラメータをtrueに設定してラテン1および他のキャラクタ・セットを表示する必要があります。 |
|
ProxySSLHeaderVar=IS_SSL |
Webgateがリバース・プロキシの背後にあり、クライアントとリバース・プロキシの間でSSLが構成されており、リバース・プロキシとWebサーバーの間で非SSLが構成されている場合に使用します。これにより、URLがhttpではなくhttpsとして格納されます。プロキシを使用すると、クライアント接続にSSLと非SSLのどちらを使用するかを示すカスタム・ヘッダー変数を設定して、URLがhttps形式で格納されます。 ProxySSLHeaderVarパラメータの値はプロキシが設定する必要のあるヘッダー変数の名前を定義します。ヘッダー変数の値は"ssl"または"nonssl"である必要があります。 ヘッダー変数が設定されていない場合、SSL状態は現在のWebサーバーのSSL状態によって決まります。 デフォルト: IS_SSL |
|
client_request_retry_attempts=1 |
WebgateとOAMサーバーのタイムアウトしきい値は、接続不可能とみなして新しい接続のリクエストを試みるまでの、WebgateがOAMサーバーを待機する時間(秒単位)を指定します。 OAMサーバーがリクエストを処理する時間がタイムアウトしきい値を超える場合、Webgateはそのリクエストを破棄し、新規接続でリクエストを再試行します。 デフォルト: 1 注意: 接続プールから返された新しい接続は、接続プールの設定に応じて、同じOAMサーバーへのものとなることがあります。また、別のOAMサーバーでも、リクエストの処理に必要な時間が、タイムアウトしきい値に指定された時間よりも長くなる可能性があります。場合によっては、OAMサーバーが停止するまで、Webgateによる再試行が続行する可能性があります。client_request_retry_attemptsパラメータを使用すると、応答しないサーバーに対するWebgateの再試行の回数を制限できます。 |
|
InactiveReconfigPeriod=10 |
Webgate更新スレッドは、Webgateがアクティブなとき1分間隔で共有シークレットをOAMサーバーから読み取ります。OAMサーバーは、共有シークレットを独自のキャッシュ(OAMサーバー・キャッシュ)に入れて戻します。 デフォルト: 10(分) 関連項目: 「Webgateのポーリング頻度の変更」 |
|
fallbackToContainerPolicy=true |
IAMSuiteAgentに使用されます。 trueに設定すると、リクエストはコンテナまで到達し、コンテナで構成されているポリシー(J2EEの認証/認可に関係する)を使用してユーザーにアクセス権を付与または拒否します。 デフォルト: |
|
logoutRedirectUrl= |
http://host.domain.com:14100/oam/server/logout |
|
protectWebXmlSecuredPagesOnly=true |
IAMSuiteAgentに使用されます。ユーザーが認証されると、後続のすべてのリクエストに対してこのパラメータを使用し、エージェントで着信リクエストの検証が必要かどうかが決定されます。設定によって次のようになります。
|
|
SSODomains |
Oracle Access Managerのインストールで、obrar.cgiのリダイレクト送信を制御する正規のWebサーバーを指定します。値ごとに1つ以上のWebサーバーを記述します。ドメイン名と、すべてのインストールのWebサーバーを対象にするワイルドカードのIPアドレスを使用すると、比較的短いリストになります。 関連項目: 「SSODomainsパラメータについて」 |
|
maxAuthorizationResultCacheElems |
認可結果キャッシュの最大要素: 認可結果キャッシュに保持される要素数。このキャッシュは、関連するユーザー・セッションの認可結果に関する情報を保持します。次に例を示します。 maxAuthorizationResultCacheElems=10000 デフォルト = 100000 |
|
authorizationResultCacheTimeout |
認可結果のキャッシュ・タイムアウト: 認可結果キャッシュに保持される要素数。このキャッシュは、関連するユーザー・セッションの認可結果に関する情報を保持します。次に例を示します。 authorizationResultCacheTimeout=60 指定されない場合のデフォルト = 15(秒) |
SSODomainsパラメータについて
セキュリティ・リスクを完全に緩和するために、すべてのWebgate登録にはユーザー定義のSSODomainsパラメータを適用することをお薦めします。
このパラメータを指定しない場合、ホストは常に一致します(従来のWebgateの動作と同じ)。
SSODomainsが指定されているが空の場合、ホストは一致しません。これにより、Webgateがobrareq.cgiリクエストを処理しないように指定できます。認証サーバー(認証スキームのチャレンジ・リダイレクトURLで指定される)として使用しないすべてのWebgateに対し、この設定が推奨されます。
構文
ssoDomains = ssoDomainSpec | ssoDomains ssoDomainSpec ssoDomainsSpec = domainSpec | ipSpec domainSpec = domain[:port] domain = domainName | domainName.domain domainName = usual_DNS_name ipSpec = ipPart.ipPart,ipPart,ipPart[:port] ipPart = ipComponent | ipWildCard ipComponent = usual_IPaddress_component ipWildCard = * port = 12345
ガイドライン:
domainName = 通常のDNS名、英数字と'-'、"_'、など。
ipComponent = 通常のIPアドレス構成要素、1桁から3桁
ipWildCard = "*"
port = 通常のポート番号、1桁から5桁
SSODomainsパラメータのspecは、それぞれ次のとおりです。
specにポートがある場合、specはホスト・ポートに一致する必要があります。ホストに明示的なホストがない場合、デフォルト(HTTPは80、HTTPSは443)が使用されます。
ホストがIPアドレスで、specがipSpecの場合、左から右にホストとspecの各ipPortに一致します。ipSpecのワイルドカード(*)は、対応するホストのすべての値に一致します。たとえば130.35.*.*と指定すると、130.35.12.45には一致しますが、130.36.12.45には一致しません。
ホストがDNS名で、specがdomainSpecの場合、specがすべて一致するまで左から右にホストとspecの各domainNameに一致します。たとえばcompany.comと指定すると、target.company.comとtarget.us.company.comには一致しますが、www.badsite.comには一致しません。
specがホストに、またはテストされたすべてのspecに一致するまで続けます。
obrareq.cgiのURLの右側のパラメータは、(通常)ユーザーの元のターゲットURLから取得されます。ホストは、完全修飾ドメイン名(優先フォーム)、IPアドレス、または部分修飾あるいは未修飾のドメイン名として指定できます。SSODomainsのspecは、使用される可能性があるホスト形式を考慮する必要があり、したがってIPアドレスとドメイン名の必要性を考慮する必要があります。部分修飾または未修飾のドメイン名もdomainSpecsとして指定できます。
ターゲットWebgateに「優先HTTPホスト」を構成すると、SSODomainsパラメータでホスト名のあらゆるバリエーションを網羅する必要がなくなります。ターゲットWebgateにSSODomainsも構成する場合(Webgateが認証に使用されないように、ドメインは避けることが推奨されます)、(パッチを適用した)ターゲットWebgateは、obrareq.cgiのURLの右側のパラメータに優先ホストを使用します。その結果、認証側のWebgateのSSODomainは、優先ホストのドメインのみを網羅すればよいことになります。
望ましい方針としては、SSODomainsの指定に、構成済の各Webgateに定義されているプライマリHTTP Cookieドメインを含めることが考えられ、理論的にはそのドメインのすべてのWebサーバーでObSSOCookieが使用可能になります。
obrareq.cgiリクエストの右側のパラメータがSSODomainsのどのspecとも一致しない場合、Webgateは次のエラーを返します。
Bad Oracle NetPoint Request The URL /obrareq.cgi is reserved for use by Oracle NetPoint and has been used with incorrect parameters.
Webgateは、右側のパラメータおよびSSODomains値とともに、受信された/obrareq.cgi URLのrhパラメータを、WebgateのSSODomainsパラメータには使用できませんという警告をログに記録します。これは、何者か、たとえば攻撃者がobrareq.cgi URLを悪用している、あるいは正規のobrareq.cgiリダイレクトがSSODomainsパラメータによって正しく網羅されていないことを意味します。
IPアドレス検証はWebgate固有です。クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。IPValidationパラメータは、IPアドレスの検証のオンとオフを切り替えます。IPValidationがtrueの場合は、ObSSOCookieに格納されているIPアドレスがクライアントのIPアドレスに一致する必要があり、一致しない場合はCookieが拒否されてユーザーは再認証が必要になります。デフォルトでは、IPValidationはtrueです。
「IPValidation」パラメータは、一部のWebアプリケーションで問題の原因となる場合があります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。これは、ObSSOCookieを使用するシングル・サインオンの妨げになります。
|
注意: 「IPValidationException」パラメータには、この検証プロセスの対象として例外となるIPアドレスをリストします。 |
「IPValidation」がtrueの場合は、IPアドレスを「IPValidationException」リストと比較できます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。これらのアドレスは、クライアントの実際のIPアドレスであり、obSSOCookieに格納されたIPアドレスではありません。ObSSOCookieに格納されているアドレスは、そのCookieが例外IPアドレスのいずれかから発行されたものである場合、アクセス・システムにより検証を受けなくて済みます。たとえば、CookieのIPアドレスがリバース・プロキシ用のアドレスである場合に、「IPValidationException」パラメータのIPアドレスを使用できます。
Webgateと認証時のクライアントIPアドレスを持たないアクセス・クライアントの間のシングル・サインオンを構成するには、IP検証オプションを明示的に無効にできます(「IPValidation」をfalseに設定)。「IPValidation」パラメータをfalseに設定すると、ブラウザまたはクライアントのIPアドレスは、ObSSOCookieの構成要素として使用されなくなります。ただし、IP検証は、可能なかぎり有効にしておくことをお薦めします。
図9-8に、OAMエージェント(Webgate)の「検索」コントロール、デフォルト、および空の「検索結果」表を示します。このページから、新しいOAM 11g Webgate登録または10g Webgate登録の作成、あるいは特定のWebgateやWebgateのグループ(たとえば、すべての11g Webgate)の検索ができます。
正確な名前がわからない場合には、検索文字列にワイルドカード(*)を使用できます。「検索結果」表で名前を選択すると、登録ページが開いて表示または編集が可能になります。
このページで使用できるコントロールは、表9-7のとおりです。
表9-7 OAMエージェントの「検索」コントロール
| コントロール | 説明 |
|---|---|
|
11g Webゲートの作成 |
クリックすると、新規11g Webgateの登録ページが開きます。 |
|
10g Webゲートの作成 |
クリックすると、新規10g Webgateの登録ページが開きます。 |
|
名前 |
登録ページで定義されているとおりの名前(または名前の一部とワイルドカード(*))を入力します。たとえば「a*」と入力すると、結果表で「Agent_WebGate_AccessDebugNew」が返されます。 |
|
バージョン |
Webgateのバージョンを選択して、検索と結果を絞り込みます。
|
|
優先ホスト |
HTTPリクエストで使用されるとおりのホスト名の全体(または一部とワイルドカード(*))を入力します。たとえば「iam*」と入力すると、結果表で「IAMSuiteAgent」が返されます。 |
|
状態 |
Webgateのバージョンを選択して、検索と結果を絞り込みます。
|
|
プライマリ・サーバー |
プライマリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
|
セカンダリ・サーバー |
セカンダリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
前提条件
Webgateは、Oracle Access Manager 11gの登録されたエージェントであることが必要です。
OAMエージェント登録を検索する手順
「システム構成」タブで、「Access Managerの設定」セクションに進みます。
「SSOエージェント」ノードを展開し、「OAMエージェント」ノードをダブルクリックします。
有効なすべてを検索する場合: 「バージョン」で「すべて」、「状態」で「すべて」を選択し、「検索」ボタンをクリックします。
バージョンを検索する場合: 「エージェントのバージョン」リストから「10g」または「11g」を選択し、検索を定義します。
名前を検索する場合: テキスト・フィールドで、検索するインスタンスの正確な名前を入力します。次に例を示します。
my_OAM_Agent
「検索」ボタンをクリックして、検索を開始します。
「検索結果」タブをクリックして結果表を表示し、次の操作を実行します。
編集または表示: ツール・バーの「編集」コマンド・ボタンをクリックして、構成ページを表示します。
削除: ツール・バーの「削除」ボタンをクリックしてインスタンスを削除し、確認ウィンドウで削除を確認します。
デタッチ: 表を1ページ全面に展開するには、ツール・バーの「デタッチ」をクリックします。
表の再構成: 「表示」メニュー項目を選択して、結果表の表示を変更します。
完了したら変更を適用します(またはページを閉じます)。
Webgateは、インストールする前に登録できます。プログラム・アクセス・クライアントは、Webgateと同じように登録できます。有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagerコンソールによりOAMエージェントを登録できます。
|
注意: エージェント登録時には、少なくとも1つのOAMサーバー・インスタンスが、エージェントと同じモードで実行中である必要があります。そうでなければ、エージェント登録が失敗します。 |
エージェント登録の後に、必要があればOAMサーバーの通信モードを変更できます。エージェントとサーバー間の通信は、Webgateモードが少なくともOAMサーバー・モードと同じレベル以上のときに動作を継続します。付録Eを参照してください。
前提条件
少なくとも1つのOAMサーバーが、登録するエージェントと同じモードで実行中であることを確認してください。
Webgateまたはプログラム・アクセス・クライアントを登録する手順
Oracle Access Managerコンソールの「ようこそ」ページから、「SSOエージェント」パネルで次のいずれかをクリックして、新しいページを開きます。
新規OAM 11gエージェント
新規OAM 10gエージェント(第27章も参照)
または、「システム構成」タブの「Access Managerの設定」セクションから「SSOエージェント」ノードを展開し、「OAMエージェント」ノードをダブルクリックして、右上隅にある目的のWebgate作成ボタンをクリックします。
「OAMエージェントの作成」ページで、必要な詳細(*の付いたもの)を入力して、このOAMエージェントを登録します(表9-4)。
保護されているリソース・リスト: この表では、表9-4にあるように、このOAMエージェントで保護する個々のリソースのURLを入力します。
パブリック・リソース・リスト: この表では、表9-4にあるように、パブリックにする(保護しない)個々のリソースのURLを入力します。
「ポリシーの自動作成」ボックスが選択されていることを確認します(または、新しいアプリケーション・ドメインが必要ない場合にはボックスの選択を解除してこの機能を無効にします)。
「適用」をクリックして、登録を送信します(または変更を適用しないでページを閉じます)。
「確認」ウィンドウで、生成されたアーティファクトの場所を確認し、ウィンドウを閉じます。
ナビゲーション・ツリーで、エージェント名がリストされていることを確認します。
次の手順を実行して、アーティファクトをWebgateのインストール先ディレクトリにコピーします(またはWebgateをインストールしてから、これらのアーティファクトをコピーします)。
Oracle Access Managerコンソールのホストで、更新されたOAMエージェントの構成ファイルObAccessClient.xml(およびすべての証明書アーティファクト)を検索します。次に例を示します。
$DOMAIN_HOME/output/$Agent_Name/ObAccessClient.xml
OAMエージェントのホストで、アーティファクトを(次のWebgateディレクトリ・パスに)コピーします。次に例を示します。
この手順は、Webgateとアクセス・クライアント登録のどちらを編集する場合でも同じです。有効な管理者の資格証明を持つユーザーは、次の手順で説明するとおり、Oracle Access Managerコンソールを使用して、登録済のOAMエージェントのあらゆる設定を変更できます。たとえば、タイムアウトのしきい値やOAMプロキシで使用される他の設定を変更する場合などです。
変更後は、更新された詳細はランタイムの構成更新プロセスによって伝播されます。通常は、アーティファクトをWebgateの構成領域にコピーする必要はありません。
|
注意: アーティファクトは、エージェント名やアクセス・クライアントのパスワード、セキュリティ・モードが変更になった場合にのみ、Webgateディレクトリ・パスにコピーする必要があります。 |
前提条件
エージェントがOracle Access Managerコンソールに登録されて、使用可能であることが必要です。
登録されたWebgateの詳細を表示または変更する手順
「システム構成」タブの「Access Managerの設定」セクションから、「SSOエージェント」ノードを展開します。
「OAMエージェント」ノード名をダブルクリックして、「検索」ページを表示します。
登録を検索: 「OAMエージェント登録の検索」を参照してください。
結果表でエージェント名をクリックし、ページを開きます。
必要に応じて、エージェントの詳細とプライマリまたはセカンダリのサーバー詳細を変更します(表9-5)。
ユーザー定義パラメータ: 必要に応じて変更します(表9-6)。
「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
必要があれば、次の手順を実行してアーティファクトをコピーします。
|
注意: アーティファクトは、エージェント名やアクセス・クライアントのパスワード、セキュリティ・モードが変更になった場合にのみ、Webgateディレクトリ・パスにコピーする必要があります。OAM 10g Webgateをプロビジョニングする場合は、第27章を参照してください。 |
Oracle Access Managerコンソールのホストで、更新されたOAMエージェントの構成ファイルObAccessClient.xml(およびすべての証明書アーティファクト)を検索します。たとえば、次のようにします。
$DOMAIN_HOME/output/$Agent_Name/ObAccessClient.xml
OAMエージェントのホストで、アーティファクトを(次のWebgateディレクトリ・パスに)コピーします。たとえば、次のようにします。
必要に応じて、付録E「Oracle Access Manager 11gとの安全な通信」を参照してください。
有効な管理者の資格証明を持つユーザーは、次の手順を実行して、Oracle Access Managerコンソールにより登録されたOAMエージェントを削除できます。
|
注意: エージェントの登録を削除すると、登録(関連のホスト識別子、アプリケーション・ドメイン、リソース、エージェント自身を含みません)のみが削除されます。 |
前提条件
このエージェントに関連するアプリケーション・ドメイン、リソースおよびポリシーを評価して、これらが別のエージェントを使用するように構成されていることや、削除可能なことを確認します。
OAMエージェントの登録を削除する手順
「システム構成」タブの「Access Managerの設定」セクションから、「SSOエージェント」ノードを展開します。
「OAMエージェント」ノードをダブルクリックして、「検索」ページを表示します。
登録を検索: 「OAMエージェント登録の検索」を参照してください。
オプション: 結果表でエージェント名をクリックしてページを開き、これが削除するエージェントであることを確認してページを閉じます。
希望するエージェント名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。
エージェント名がナビゲーション・ツリーにないことを確認します。
Webgateインスタンスの削除: 次の手順を実行すると同時に、必要があれば「OAM 11gデプロイメントからの10g Webgateの削除」を参照してください。
Webサーバーを停止します。
次のディレクトリ・パスに用意されているユーティリティを使用して、Webgateソフトウェアを削除します。
$Webgate_install_dir/oui/bin
Windows: setup.exe -d Unix: runInstaller -d
Webgateのアップデート前のhttpd.confバージョンに戻します。たとえば、次のようにします。
コピー内容: httpd.conf.ORIG
コピー先: httpd.conf
Webサーバーを再起動します。
エージェントのホストで、Webgateのインスタンス・ディレクトリを手動で削除します。たとえば、次のようにします。
11g Webgate/アクセス・クライアントの場合:
ここでは、次の内容について説明します。
Webgateは、パフォーマンスの向上を図るためにリソース、認証、認可に関する様々な情報をキャッシュします。キャッシュされた情報を使用することで、11gサーバーに何度もアクセスして同じ情報をリクエストすることが回避されます。表9-8に示すのは、Webgateがこのような情報を保持するために使用するキャッシュです。
表9-8 Webgateキャッシュ
| キャッシュ・タイプ | 説明 |
|---|---|
|
認証スキームに対するリソース |
このキャッシュは、使用される認証スキームに関する情報を保持します。 デフォルト: 100000要素 |
|
認証スキーム |
このキャッシュは、使用される認証スキームに関する情報を保持します。 デフォルト: 25要素 通常、「認証スキーム」のキャッシュ要素に必要なメモリーは、1要素ごとに2KB未満です。 関連項目: 「キャッシュのタイムアウト値のチューニング」 |
|
認可ポリシーに対するリソース 11g Webgateのみ |
このキャッシュは、アクセスするリソースと、関連する認可ポリシーに関する情報を保持します。 デフォルト: 100000要素 |
|
認可結果 11g Webgateのみ |
このキャッシュは、ユーザー・セッションに関連する認可に関する情報を保持します。 デフォルト: 1000要素 |
11g Webgateの診断ページについて
このページには、現在有効なキャッシュ構成パラメータについて役に立つ情報が表示されます。また、キャッシュされた要素数、現在までのヒット数とミス数、個々のキャッシュの現在のメモリー使用状況など、キャッシュについてのランタイム情報も表示されます。このページには、次のURLでアクセスします。
http://webserver:port/ohs/modules/webgate.cgi?progid=1
|
注意: Webgateのパラメータに対する変更がWebgate上に反映されるのは、次の構成のリフレッシュ後です。11gエージェントの場合、構成がリフレッシュされるデフォルトの間隔は10分です。 |
キャッシュの最大要素数のチューニング
デフォルトでは、認証スキームに対するリソースと認可ポリシーに対するリソースのキャッシュは100000要素を格納するように作成されます。通常、これらのキャッシュの要素に必要なメモリーは、1要素ごとに1KB未満です。そのため、各キャッシュの要素数が100000とすると、キャッシュに必要な通常のメモリーはそれぞれ100000KB(100MB)となります。
メモリー要件と実際のデプロイメント、使用するWebサーバー、アプリケーションで一意なURLの数を考慮して、キャッシュされる要素の最大数を増減した方がよい場合があります。
|
注意: 必要に応じて「最大キャッシュ要素」のパラメータ値を変更してください。この値を-1に設定すると、すべてのWebgateキャッシュが無効になります。 |
10gと11gのどちらのWebgateでも、キャッシュされる要素の最大数をチューニングするには、「最大キャッシュ要素」のパラメータを変更します。このパラメータを更新するには、Webgateの再起動が必要です。
Oracle Access Managerコンソールで、必要な10gまたは11gのWebgate登録ページを探して開きます。
必要に応じて「最大キャッシュ要素」のパラメータを設定します。
WebgateのWebサーバーを再起動します。
認可結果キャッシュのチューニング
デフォルトでは、認可結果キャッシュは1000要素を格納するように作成されます。認可結果キャッシュの要素には、ユーザー・セッション識別子、認可ポリシー識別子、処理されたポリシー・レスポンスなど関連する認可結果が格納されます。したがって、認可結果キャッシュの要素は大きくなり、通常でも1要素ごとに2KBのメモリーを必要とします。
メモリー要件と、実際のデプロイメントにおける同時ユーザー・セッション数を考慮して、キャッシュされる要素の数を増やした方がよい場合があります。
Oracle Access Managerコンソールで、必要な11g Webgate登録ページを探して開きます。
「ユーザー定義パラメータ」で、必要に応じてmaxAuthorizationResultCacheElemsを追加または更新します。
WebgateのWebサーバーを再起動します。
キャッシュのタイムアウト値のチューニング
デフォルトでは、次のキャッシュはタイムアウト値を1800秒つまり30分に設定して作成されます。
認証スキームに対するリソース
認証スキーム
認可ポリシーに対するリソース
これらのキャッシュの要素は失効時間付きで格納され、失効するとキャッシュが強制的にフラッシュされます。
デプロイメントにおける認証スキーム、認証ポリシーおよび認可ポリシーに対する更新頻度を考慮して、デフォルトのタイムアウト値を増減した方がよい場合があります。
Oracle Access Managerコンソールで、必要な10gまたは11gのWebgate登録ページを探して開きます。
必要に応じて「キャッシュ・タイムアウト」のパラメータを設定します。
WebgateのWebサーバーを再起動します。
認可結果キャッシュのタイムアウトのチューニング
デフォルトでは、認可結果キャッシュのタイムアウト値は15秒に設定されます。認可結果キャッシュの要素は失効時間付きで格納され、失効すると強制的にフラッシュされます。タイムアウト値を低くすると、認可結果は短時間だけキャッシュされるようになります。
ユーザー・セッションの平均時間と、ユーザー・セッションが作成される頻度を考慮して、デフォルトのタイムアウト値を変更した方がよい場合があります。他のキャッシュおよびパラメータとは異なり、このパラメータを更新する際にWebgateの再起動は不要です。更新された値は11g Webgateによって動的に取得され、すぐに適用されます。
|
注意: authorizationResultCacheTimeoutを0に設定すると、認可キャッシュが無効になります。 |
Oracle Access Managerコンソールで、必要な11g Webgate登録ページを探して開きます。
「ユーザー定義パラメータ」で、必要に応じてauthorizationResultCacheTimeoutを追加または更新します。
WebgateのWebサーバーを再起動します。
WebgateによるOAMサーバー構成のポーリングを使用すると、WebgateとOAMサーバーの間でも、Oracle Access Managerの登録済データ・ストアとOAMサーバーとの間でも通信量が削減されます。
手順の概要: WebgateによるOAMサーバー構成のポーリング
Webgateが非アクティブな状態が60秒続くと、その構成情報に対するポーリングの頻度を低下させます。
ポーリング頻度は、パラメータInactiveReconfigPeriodによって決まります。これは、Webgate構成ページで設定されるユーザー定義のパラメータです。InactiveReconfigPeriodの値は分で指定します。Webgateは、10秒以内の再開アクティビティを挟んで、再構成ポーリングを1分に1回ずつ繰り返し実行するようになります。
起動時には、Webgateはブートストラップ構成をチェックし、重要なパラメータが変更されているかどうかを確認します。
これによって、ほとんどの場合再初期化プロセスが不要になり、OAMサーバーからの一時的なロードが削減されます。
Webgate構成およびアクセス・クライアント構成は、OAMサーバーにキャッシュされます。
デフォルトのキャッシュ・タイムアウトは59秒です。これは、Apache以外のアクセス・クライアントではシステム動作になんら影響を与えません。Apache WebサーバーでWebgateを使用する場合は、ディレクトリ・サーバーに対する不要なヒットが回避されます。キャッシュのパラメータは、Webgate登録ページで設定できます。
「最大キャッシュ要素」は、キャッシュの最大数を設定します(デフォルトは9999)。
「キャッシュ・タイムアウト」は、キャッシュ内の任意の要素の最大存続期間を決定します(デフォルト値は59秒です)。
WebgateとOAMサーバー間およびOAMサーバーとデータベース間のオフタイム・ネットワーク・トラフィックを削減する方法は2つあります。
Webgate構成およびアクセス・クライアント構成のOAMサーバー・キャッシュのデフォルト構成キャッシュ・タイムアウトの変更(ステップ3で説明)
Webgateによる構成情報ポーリング頻度の変更(次項で説明)
WebgateとOAMサーバーの間、およびOAMサーバーとデータベースの間のオフタイム・ネットワーク・トラフィックを削減する方法の1つは、InactiveReconfigPeriodパラメータを使用してWebgateのポーリング頻度を変更することです。
デフォルト値は1分です。Webgateが非アクティブな状態(たとえば、認証リクエストが処理されないなど)が60秒を超えて続くと、構成情報に対するポーリングの頻度が低下します。Webgateは、10秒以内の再開アクティビティを挟んで、再構成ポーリングを1分に1回ずつ繰り返し再開するようになります。
-2に設定すると、Webgateはポーリングを行いません。
0より大きい値に設定すると、指定した間隔でポーリングが実行されます。
-1に設定し、Webgateの非アクティブな状態が1分間続くと、Webgateはポーリングを停止します。Webgateがアクティブな状態に戻ると、構成ポーリングが再開されます。
たとえば、OAMサーバーにより、共有シークレットの値がディレクトリから10分間隔で読み取られ、キャッシュに格納されて、Webgateに戻されます。アイドル状態で、Webgateは、InactiveReconfigPeriod値を使用してOAMサーバーから共有シークレットを読み取ります。この値が設定されていない場合、更新された共有シークレットの値が10分後に戻されますが、Webgateは、1分間隔で共有シークレット(構成)の値についてOAMサーバーをポーリングします。
「OAMエージェント登録の検索」の手順に従って、目的のWebgate登録ページを検索します。
Webgate登録ページで、ユーザー定義パラメータとしてInactiveReconfigPeriodパラメータを追加します。
InactiveReconfigPeriodには、値を分単位で指定します。
Webgate登録ページに変更を適用します。
この項では、Oracle Access Managerコンソールを使用したOSSOエージェント登録(mod_osso)の管理方法について説明します。詳細は、次の項目を参照してください。
OSSOエージェントとは、OSSOサーバーのパートナ・アプリケーションとして機能し、リソースを保護するOracle HTTP Server上にデプロイされた任意のmod_ossoモジュールです。
OSSOプロキシは、OAMとOSSOエージェント間の相互運用性をサポートします(OSSOエージェントを使用して、OAMエージェントのために作成された有効なSSOセッション、あるいはSSOセッションのために作成された有効なOAMエージェントにアクセスします)。
| OSSOプロキシのサポート対象 | 説明 |
|---|---|
| SSOログイン | OSSOエージェントからOAMサーバー(およびOSSO固有のトークン) |
| SSOログアウト | OSSOエージェントからOAMサーバー |
| OSSOエージェントのリクエストおよびプロトコル | OSSOプロキシは、OSSOプロトコルをOracle Access Manager 11gサービスのプロトコルに変換します。 |
このトピックでは、Oracle Access Managerコンソールを使用したOSSOエージェントの登録について説明します。
|
注意: OSSOエージェントを登録する前に、Oracle HTTP Serverがクライアント・コンピュータ上にインストールされて、mod_ossoにWebサーバーが構成済であることを確認してください。 |
図9-9に、Oracle Access Managerコンソールの「システム構成」タブにある「OSSOエージェントの作成」ページを示します。
「OSSOエージェントの作成」ページでは、必要な情報にアスタリスク(*)で印が付けられています。表9-9は、新しいエージェントを登録する際に指定できる必須およびオプションの詳細を示します。
表9-9 「OSSOエージェントの作成」ページの要素
| 要素 | 説明 |
|---|---|
|
名前 |
このmod_ossoエージェントを識別する名称。 |
|
トークン・バージョン |
トークンのデフォルト・バージョンは3.0です。次のオプションを使用できます。
|
|
ベースURL OSSOエージェントで必須です。 |
必要なプロトコル、ホスト、およびエージェントのWebサーバーがインストールされるコンピューターのポート。たとえば、http://host.example.domain.com:port or https://example.domain.com:portなどです。 注意: ホストとポートは、展開された登録のデフォルトとして使用されます。表9-10を参照してください。 |
|
管理者ID |
このmod_ossoインスタンスの管理者のログインID(オプション)。たとえば、SiteAdminなどです。 |
|
管理者情報 |
このmod_ossoインスタンスの管理者の詳細(オプション)。たとえば、アプリケーション管理者などです。 |
|
ホスト識別子 |
ホスト識別子は、エージェント名に基づいて自動的に入力されます。 |
|
ポリシーの自動作成 |
エージェントの登録時に、認証と認可のポリシーを自動的に作成できます。このオプションは、デフォルトでチェック(有効)されています。 OSSOプロキシには、汎用のURL(/.../*)を持ったリソースを含み、LDAPスキーム(デフォルト)に基づくポリシーに保護されているアプリケーション・ドメインが必要です。サーバー側で汎用のURLが使用されるのは、このためです。 デフォルト: 有効 注意: ドメインおよびポリシーをすでに登録している場合、新しいリソースを追加できます。このオプションを解除(選択解除)すると、アプリケーション・ドメインやポリシーは自動的に生成されません。 |
エージェントの登録を合理化するため、いくつかの要素は非表示にされ、コンソールで登録時にはデフォルト値が使用されます。エージェントの登録ページをOracle Access Managerコンソールで表示すると、すべての要素と値が表示されます。
図9-10は、コンソールで表示した場合のエージェント・ページ全体を示します。「確認」ウィンドウはそのまま表示されます。指定された詳細のすべてとデフォルト値が表示されます。
表9-10は、OSSOエージェントで使用される展開済の要素とデフォルトの概要を示します。
表9-10 展開されたOSSOエージェントの要素
| 要素 | 説明 |
|---|---|
|
サイト・トークン |
認証をリクエストする際にパートナにより使用されるアプリケーション・トークン。これは編集できません。 |
|
成功URL |
認証が成功したときに使用されるリダイレクトURL。デフォルトでは、ベースURLにより指定される完全修飾されたホストおよびポート上のosso_login_successが使用されます。次に例を示します。 デフォルト: http://example.domain.com:7001/osso_login_success |
|
失敗URL |
認証が失敗したときに使用されるリダイレクトURL。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポート上のosso_login_failureが使用されます。 デフォルト: http://example.domain.com:7001/osso_login_failure |
|
開始日 |
アプリケーションへのログインがサーバーにより許可される第1日目の年月日。 デフォルト: エージェントの登録日。 |
|
ホームURL |
認証後にホーム・ページとして使用されるリダイレクトURL。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポートが使用されます。 デフォルト: http://example.domain.com:7001 |
|
ログアウトURL |
ログアウトするときに使用されるリダイレクトURL。これは、ユーザーをサーバー上のグローバル・ログアウト・ページにリダイレクトします: osso_logout_success。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポートが使用されます。 デフォルト: http://example.domain.com:7001/osso_logout_success 関連項目: 「一元化されたOAM 11gのログアウトの概要」。 |
「OSSOエージェント」ノードを初めて開くと、「検索」フォームが表示されます。「結果」表に、すべてのOSSOエージェントがリストされます。結果が多すぎて目的のものをすぐに見つけられない場合には、コントロールを使用して検索を絞り込むことができます。
|
注意: 「検索」ページの最上部に、「OSSOエージェントの作成」ボタンがあります。 |
OSSOエージェントの検索を絞り込む要素は、登録時に割り当てられた「エージェント名」、またはシステムによって割り当てられる「エージェントID」の2つのみです。
前提条件
OSSOエージェントがOracle Access Manager管理コンソールに登録されて、使用可能であることが必要です。
OSSOエージェント登録を検索する手順
「システム構成」タブで、「Access Manager」セクションに進みます。
「SSOエージェント」ノードを展開し、「OSSOエージェント」ノードを開きます。
「名前」フィールドに、検索の基準を入力します(ワイルドカード(*)の使用は任意)。次に例を示します。
my*
「検索」ボタンをクリックして、検索を開始します。
「検索結果」表で、次のようにします。
編集または表示: ツール・バーの「編集」コマンド・ボタンをクリックして、構成ページを表示します。
削除: ツール・バーの「削除」ボタンをクリックしてインスタンスを削除し、確認ウィンドウで削除を確認します。
デタッチ: 表を1ページ全面に展開するには、ツール・バーの「デタッチ」をクリックします。
表の再構成: 「表示」メニュー項目を選択して、結果表の表示を変更します。
終了したら変更を適用します(またはページを閉じます)。
有効な管理者の資格証明を持つユーザーは、次の手順を実行して、Oracle Access ManagerコンソールによりOSSOエージェントを登録できます。
前提条件
Oracle HTTP Serverがクライアント・コンピュータにインストールされて実行中であり、mod_ossoに対して構成されていることを確認してください。
OSSOエージェントを登録する手順
Oracle Access Managerコンソールの「ようこそ」ページから、「エージェント構成」パネルで次のリンクをクリックして、新しいページを開きます。
OSSOエージェントの追加
または、「システム構成」タブから、「エージェント」ノードと「OSSOエージェント」ノードを展開し、ツール・バーの「作成」ボタンをクリックします。
ツール・バーで「作成」ボタンをクリックします。
「OSSOエージェントの作成」ページで、表9-9にある必要な詳細を入力します。
名前
ベースURL
必要な「トークン・バージョン」を選択し、必要な場合にはオプションの詳細を入力します(表9-9)。
「適用」をクリックして、登録を送信します(または変更を適用しないでページを閉じます)。
「確認」ウィンドウで、生成されたアーティファクトのパスを確認し、ウィンドウを閉じます。次に例を示します。
Artifacts are generated in following location : /.../base_domain/output/OSSO1
更新されたosso.confファイルをOSSOエージェントのホストにコピーします。
Oracle Access Managerコンソールのホストで、更新されたOSSOエージェントのosso.confファイルを検索します。次に例を示します。
$DOMAIN_HOME/output/$Agent_Name/osso.conf
OSSOエージェントのホストで、osso.confをmod_ossoディレクトリ・パスにコピーします。
$OHS_dir/osso.conf
OSSOをホストするOAMサーバーを再起動します。
有効な管理者の資格証明を持つユーザーは、次の手順で説明するとおり、Oracle Access Managerコンソールを使用して、登録済のOSSOエージェントのあらゆる設定を変更できます。たとえば、終了日を変更したり、管理者の情報を追加する場合があります。
前提条件
Oracle HTTP Serverがクライアント・コンピュータにインストールされて実行中であり、mod_ossoに対して構成されていることを確認してください。
OSSOエージェント登録の閲覧または変更の手順
「システム構成」タブの「Access Manager」セクションから、「SSOエージェント」ノードを展開します。
「OSSOエージェント」ノードをダブルクリックします。
エージェントの検索: 「OSSOエージェント(mod_osso)登録の検索の絞込み」
「検索結果」表で目的のエージェント名をクリックし、登録ページを開きます。
「適用」をクリックして変更を送信し(または変更を適用せずにページを閉じます)、「確認」ウィンドウを閉じます。
更新されたosso.confファイルをOSSOエージェントのホストにコピーします。
Oracle Access Managerコンソールのホストで、更新されたOSSOエージェントのosso.confファイルを検索します。次に例を示します。
$DOMAIN_HOME/output/$Agent_Name/osso.conf
OSSOエージェントのホストで、osso.confをmod_ossoディレクトリ・パスにコピーします。
$OHS_dir/osso.conf
OSSOエージェントをホストしているOAMサーバーを再起動し、第IV部「Oracle Access ManagerのSSO、ポリシー、およびテストの管理」に進みます。
有効な管理者の資格証明を持つユーザーは、次の手順を実行して、Oracle Access Managerコンソールにより登録されたOSSOエージェントを削除できます。
|
注意: エージェントの登録を削除すると、登録(関連のホスト識別子、アプリケーション・ドメイン、リソース、エージェント・インスタンス自身を含みません)のみが削除されます。 |
前提条件
このエージェントに関連するアプリケーション・ドメイン、リソースおよびポリシーを評価して、これらが別のエージェントを使用するように構成されていることや、削除可能なことを確認します。
OSSOエージェントの登録を削除する手順
「システム構成」タブの「Access Managerの設定」セクションから、「SSOエージェント」ノードを展開し、「OSSOエージェント」ノードを開きます。
「検索」をクリックし、目的の名前を選択します(または、必要に応じて検索を絞り込みます)。
オプション: 希望する名前をダブルクリックして、登録ページを表示します。これが削除するエージェントであることを確認し、ページを閉じます。
エージェント名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。
