| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この章では、本書の概要および詳細情報を確認できる章へのリンクについて説明します。この章には次の項が含まれます。
このマニュアルでは、管理者がOAM 11gのコンポーネントやポリシーを1つ以上のWebLogic管理ドメイン内で管理する上で役立つ情報を提供しています。
各WebLogic Serverのドメインは、論理的に関連するOracle WebLogic Serverリソースのグループです。WebLogic管理ドメインには、Administration Serverという特殊なOracle WebLogic Serverインスタンスが含まれています。このドメインは通常、管理対象サーバーという追加のOracle WebLogic Serverインスタンスを含み、WebアプリケーションとWebサービスがここにデプロイされます。
次の各項では、このマニュアルの部および章を順に紹介します。
このマニュアルの第I部では、このマニュアルで説明する製品ならびにOracle Access ManagerおよびOracle Security Token Serviceに共通のシステム管理タスクを紹介します。次の章が含まれます。
Oracle Access Managerの管理タスクは、日常的および定期的なシステム管理、ポリシーの作成および管理、セッション管理、診断、ならびにトラブルシューティングを中心に編成できます。当初、管理者の定義に使用するLDAPグループは、Oracle Access ManagerとWebLogicの間で変わりません。同様に、Oracle Access ManagerコンソールとWebLogic Server管理コンソールの両方へのログインに、同じ資格証明を使用します。Oracle Access Manager管理者のLDAPグループは変更できます。
この項では、このガイドの第II部の情報を紹介し、次のトピックについて説明します。
管理者は次を使用します。
Oracle Access Managerのシステム構成ならびにセキュリティの要素およびポリシーを登録および管理するためのOracle Access Managerコンソール。
Oracle Access Managerコンソールならびに最も一般的な機能およびタスクの概要は、第3章「共通の管理およびナビゲーションの基礎」を参照してください。
|
注意: カスタム管理コマンドライン・ツール(WebLogic Scripting Tool、別名WLST)は、このガイドに適宜記載のある特定の機能セットについて、Oracle Access Managerコンソールに代わる選択肢となります。 |
WebLogic Server管理コンソールを使用して、WebLogic Serverドメイン内のデプロイされたOAMサーバーのサーバー構成サマリー(クラスタ、マシン、ステート、状態、リスナー・ポート)を参照したり、これらのサーバー上でSSLの起動、再開、一時停止、停止、または再起動を行います。
WebLogic Serverの管理コンソールの詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
コマンドライン入力用のカスタムOracle Access Manager WebLogic Scripting Tool
エージェントおよびアプリケーション・ドメインを登録するためのリモート登録ツール
第4章では、Oracle Access ManagerとOracle Security Token Serviceの両方に共通するプロパティにナビゲートして構成する方法を説明します。この章には次のトピックが含まれます。
共通構成要素の概要
使用可能なサービスの有効化および無効化
共通設定の管理
グローバル証明書の検証および取消の管理
「データ・ソース」という用語はJava Database Connectivity(JDBC)のもので、Oracle Access Managerにおいてユーザー・アイデンティティ・ストアのコレクションまたはポリシーのデータベースを指すときに使用します。
Oracle Access Manager 11gは、通常エンタープライズにインストールされるデータ・ソースのタイプをいくつかサポートしています。各データ・ソースは、様々な情報タイプのストレージ・コンテナです。
|
注意: Oracle Access Managerの構成データは、XMLファイルoam_config.xmlに格納されます。変更にはOracle Access ManagerコンソールまたはWebLogic Scripting Tool (WLST)コマンドのみを使用することをお薦めします。このファイルは編集しないでください。 |
ユーザーが保護されたリソースにアクセスを試みるときに認証を有効にするには(また、許可の際に許可を受けたユーザーのみがリソースにアクセスできるようにするには)、データ・ソースをOracle Access Manager 11gに登録する必要があります。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』で説明している初回のデプロイメント・プロセス中に、Oracle Access Manager 11gに対してデータ・ソースをインストールして登録する必要があります。
ユーザー・アイデンティティ・ストア: 一元化されたLDAPストレージで、ユーザー指向の集計データが系統だって維持管理されます。
|
注意: Oracle Access Manager 11gにはアイデンティティ・サービスは含まれず、ネイティブのユーザーやグループ、ロール・ストアはありません。 |
デフォルトでは、Oracle Access Manager 11gは、WebLogic Serverドメインの埋込みLDAPをユーザー・アイデンティティ・ストアとして使用します。ただし、数多くの他の外部LDAPリポジトリをユーザー・アイデンティティ・ストアとして登録することも可能です。この場合、管理者ロールおよびユーザーを含むシステム・ストアとして1つのストアを指定する必要があります。
データベース: コンテンツのアクセスや管理、更新が簡単となるように、整理されて格納された情報のコレクション。
ポリシー・ストア: Oracle Access Manager 11gのポリシー・データは、Oracle Access Manager固有のスキーマで拡張されたデータベースに格納してOracle Access Manager 11gに登録する必要があります。
セッション・ストア: デフォルトでは、Oracle Access Managerのセッション・データはポリシー・ストア(データベース)に移行されたメモリー内のキャッシュに格納されます。また、第5章に説明するように、セッション・データに個別のデータベースを持つこともできます。セッションの詳細は、第7章を参照してください。
監査ストア: 監査データは、ファイルまたは個別のデータベース(ポリシー・ストアのデータベース以外)に格納できます。監査の詳細は、第24章「管理イベントおよびランタイム・イベントの監査」を参照してください。
JavaキーストアはOracle Access Manager 11gに関連付けられ、エージェント・トラフィックおよびセッション・トークンを暗号化するために生成されるセキュリティ・キーの格納に使用されます。それぞれのOracle Access ManagerおよびOSSOエージェントは、他のエージェントが読むことのできない秘密鍵を持っています。また、Oracle Coherenceベースのセッション管理トラフィックを暗号化するキーもあります。ただし、キーストアは不可視であり、管理や変更はできません。
|
注意: キーのパスワードは資格証明ストアに格納されます。 |
Oracle Access Managerでは、Oracle Access Managerコンソールからユーザー・アイデンティティ・ストアの詳細を管理(登録、表示、変更または削除)できます。詳細は、第5章「共通データ・ソースの管理」を参照してください。
OAMサーバーは、Oracle Access Manager release 10gではアクセス・サーバーと呼ばれていました。OAMサーバーは、Oracle WebLogic管理対象サーバー上にデプロイされたOracle Access Manager 11gの実行時インスタンスを提供します。登録されたエージェントは、OAMサーバーと通信します。
|
注意: 管理者はWebLogic Serverのドメインを拡張して、必要があればOAMサーバーを追加できます。これについては、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』で説明しています。 |
Oracle Access Managerコンソールは、OAMリリース10gではポリシー・マネージャと呼ばれていました。Oracle Access Managerコンソールは、WebLogic管理サーバーと同じコンピュータにインストールして実行する必要があるJava EEアプリケーションです。WebLogic管理サーバーで実行する他の重要なアプリケーションには、WebLogic Server管理コンソールとFusion Middleware Control用のEnterprise Managerがあります。
|
注意: Oracle Access Managerコンソールは、OAM管理サーバーと呼ばれることもあります。ただし、これはWebLogic管理対象サーバー上にデプロイされたOAMサーバーと同類ではありません。 |
いくつかのグローバル設定はすべてのサービスで共有されており、Oracle Access Managerコンソールを使用して管理できます。第4章「サービス、証明書検証、および共通設定の管理」を参照してください。
第6章「共通のOAMサーバー登録の管理」で説明しているように、Oracle Access Managerコンソールを使用してサーバー登録を管理できます。
Access Managerの操作に固有の設定は、第8章「Access Managerの設定の構成」で説明します。
|
注意: 次のいずれかを使用してOAMサーバーの実行時に新しい管理対象サーバー・インスタンスを追加できます。
最後の2つの方法では、Oracle Access Managerコンソールに表示されるOAMサーバー・インスタンスが自動的に登録され、他に必要な手順はありません。 |
Oracle Access Manager 11gサーバーは、様々なポリシー強制エージェントと互換性があります。詳細は、「シングル・サインオン・エージェント」を参照してください。
OAM 11gの場合、セッション管理とは、ユーザーまたは管理者が発端となったイベントやタイムアウトに基づくイベントをサポートすることでユーザー・セッションの情報を管理するプロセスを指します。
管理者は、Oracle Access Manager 11gセッションのライフサイクル設定を構成できます。セッション・ストレージのデータベースは、まずOracle Access Manager構成を使用して構成されます。
メモリー内のセッション・ストア: Oracle Coherenceの埋込み技術を使用して、分散されたキャッシュに低データ・アクセスの待機時間を提供し、分散されたキャッシュ(およびデータベース・ポリシー・ストア)間でデータを透過的に移動します。
データベース・セッション・ストア: 非常に大きなデプロイメント(数十万の同時ログイン)のための、耐故障性とスケーラビリティを提供します。この場合、OAM固有のスキーマを使用して拡張されたデータベース・ポリシーおよびセッション・データ・ストアを使用する必要があります。
詳細は、第7章「セッションの管理」を参照してください。
この項では、このマニュアルの第III部の内容について説明します。
「システム構成」タブの「Access Managerの設定」セクションには、Access Managerのサービスの操作に固有の設定が数多く用意されています。
この章(第8章)では、Access Managerに固有の次の設定を説明します。
「Access Managerの設定」の概要
Access Managerロード・バランシング設定の管理
SSOトークンとIPの検証の管理
OAMプロキシの簡易モードおよび証明書モードのセキュリティのためのアクセス・プロトコルの管理
実行時のポリシー評価キャッシュの管理
認証モジュールの管理
シングル・サインオン・エージェント(ポリシー施行エージェントまたは単純にエージェントとも呼ばれます)は、アクセス・クライアントとして機能する任意のフロントエンドのエンティティで、エンタープライズ・アプリケーション間でシングル・サインオンを可能にします。
保護されたリソースへのアクセスを安全にするには、Webサーバーやアプリケーション・サーバー、サード・パーティアプリケーションを登録済のポリシー強制エージェントに関連付ける必要があります。エージェントはHTTPリクエストのフィルタとして機能し、アプリケーションが存在するWebサーバーをホストするコンピュータ上にインストールする必要があります。
個々のエージェントは、エージェントとOAMサーバー間で必要な信頼を設定するためにOracle Access Manager 11gに登録する必要があります。登録されたエージェントは、認証タスクをOAMサーバーに委任します。
Oracle Access Manager 11gは、次のタイプのエージェントをサポートします(組合せは任意)。
OAMエージェント: Webgateはこのタイプのエージェントです。これはアクセス・クライアントとして機能するWebサーバー・プラグインです。Webgateは、WebリソースのHTTPリクエストを捕捉して、認証および認可のためにOAMサーバーに転送します。
Webgate 11g: 個別にインストールする必要があります。Oracle Access Manager 11gへの登録後、Webgateは、Oracle Access Manager 11gのサービスと直接通信します。プロキシは使用されません。
Webgate 10g: 個別にインストールする必要があります。Oracle Access Manager 11gへの登録後、登録された10g Webgateは、ブリッジとして機能するJava EEベースのOAMプロキシを介して、Oracle Access Manager 11gのサービスと通信します。
IAMSuiteAgent: このJavaエージェントは、アイデンティティ管理ドメインのリソースに対してSSOによる保護を提供するために、追加設定なしでインストールおよび登録されます。また、エージェントのoamsso_logoutアプリケーションが構成されて、WebLogic(およびOAM)のAdminServerとすべての管理対象サーバーにデプロイされます。このエージェントは、Oracle Access Manager 11gのポリシーを施行するため、OAM 10gエージェントとして実行されます。旧IDMDomainAgentはこのエージェントに置換されます。
IDMDomainAgent: この旧Javaエージェントは、IAMSuiteAgentに置換されます。Oracle Access Manager 11gパッチ・セットの適用後、IDMDomainAgentおよびそのコンパニオン・アプリケーション・ドメインは廃止されます。
アクセス・クライアント: Access Managerソフトウェア開発キット(SDK)を使用して作成されたカスタム・プログラムのアクセス・クライアント。アクセス・クライアントは、Webリソースおよび非Webリソースを保護できます。
OSSOエージェント(mod_osso 10g): Oracle Access Managerに登録された後、OSSO 10gエージェントはOSSOプロキシを介して直接Oracle Access Manager 11gサービスと通信します。
OSSOプロキシは、Oracle Access Manager 11gへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをOracle Access Manager 11g認証サービスのプロトコルに変換します。
次の方法とツールを使用して、エージェントをOracle Access Manager 11gに登録できます。
Oracle Access Managerコンソール: 第9章の説明のとおりに、OAMエージェントおよびOSSOエージェントを登録して管理します。
リモート登録: 第10章の説明のとおりに、Oracle提供のコマンドライン・ツールを使用します。
プログラムによるエージェント登録: コンソールまたはリモート登録ツールを使用したOAMエージェントおよびOSSOエージェントの登録と同じです。第9章および第10章を参照してください。
既存の10g Oracle Access ManagerまたはOSSOのデプロイメントから可能な処理を次に示します。
この項では、このガイドの第IV部の情報を紹介し、次のトピックについて説明します。
シングル・サインオン(SSO)は、ユーザーが一度の認証で複数の保護されたリソース(Webページやアプリケーション)にアクセスできるようにするプロセスです。
Oracle Access Manager 11gは、パートナ・ネットワークのIdentity Federationやサービス指向アーキテクチャ(SOA)のようなSSOアーキテクチャをひとつにまとめます。Oracle Access Manager 11gは、複数のプロトコルで一貫したサービスを提供する共通のSSOエンジンを介して、シングル・サインオン(SSO)を提供します。
認証タスクをOracle Access Manager 11gに委任するには、エージェントが依存する相手とともに存在し、Oracle Access Manager 11gに登録されている必要があります。エージェントを登録すると、エージェントとOracle Access Manager 11g SSOとの間で必要な信頼メカニズムが設定されます。
|
注意: Oracle Access ManagerコンソールおよびWebLogicコンテナにデプロイされた他のOracle Identity Managementコンソールのシングル・サインオンは、事前登録されたIAMSuiteAgentとコンパニオン・アプリケーション・ドメイン(IAMSuite)を使用して有効化されます。コンソールをこれ以上構成する必要はありません。 |
シングル・サインオンは様々な方法で実装できます。
シングル・ネットワーク・ドメインSSO: 単一のネットワーク・ドメイン(たとえばmycompany.comなど)内のリソースに対してOracle Access Manager 11gのシングル・サインオンを設定できます。これには、単一のネットワーク・ドメイン内にある複数のWebLogic管理ドメインに属するリソースの保護が含まれます。
複数のネットワーク・ドメインSSO: Oracle Access Manager 11gでは、これは標準の機能です。11g Webgateのみを使用している場合、システム内のすべてのCookieはホスト・ベースです。ただし、すべてのドメインを管理する必要があります。一部のドメインが外部のエンティティ(Oracle Access Managerのデプロイメントの一部ではないもの)により制御される場合、Oracle Identity Federationを使用することをお薦めします。詳細は、Oracle Fusion Middleware管理者ガイド for Oracle Identity Federationを参照してください。
複数のWebLogic ServerドメインSSO: WebLogic Serverインスタンスの基本的な管理の単位は、ドメインとして知られています。様々なシステム管理者の責任、アプリケーションの境界またはWebLogicサーバーの地理的な場所に基づいて、複数のWebLogic管理ドメインを定義できます。ただし、クラスタ内のすべての管理対象サーバーが同じWebLogic Serverドメインに存在する必要があります。
エージェントのリリースが混在するSSO: Oracle Access Manager 11gでは、登録されたOracle Access Manager 11gおよびOAM 10gのエージェント(新規のWebgate、プログラムによるアクセス・クライアント、およびOSSOエージェント(mod_osso 10g))がシームレスにサポートされ、それらを任意の組合せで使用できます。
Oracle Access Manager 11gポリシー・モデルは、アプリケーション・ドメインのコンテキスト内で認証と認可の両方のサービスを提供します。
|
注意: Oracle Access Manager 10gは、ポリシー・ドメインのコンテキスト内で認証と認可のサービスを提供します。OracleAS SSO 10gは認証のみ提供します。 |
Oracle Access Manager 11gポリシー・モデルでは、次のコンポーネントが共有され、どんなアプリケーション・ドメイン内でも構成して使用できます。
リソース・タイプ: 保護するリソースのタイプと関連の動作を定義します。デフォルトのリソース・タイプはHTTPです。ただし、管理者はアプリケーション・ドメイン内の特定のリソースに適用可能なhttp以外のリソース・タイプを定義できます。アクセス・テスターは、HTTPリソースについてのみポリシーの強制を評価するときに使用できます。
ホスト識別子: 管理者が指定の定義内にすべての可能なホスト名のバリエーションを含められるようにして、Webサーバー・ホストの識別を簡略化します。リソースをアプリケーション・ドメインに追加する際、管理者は指定された定義のいずれかを選択してからリソースのURLを指定できます。
仮想Webホスティング: 単一のサーバーでユニークなサブディレクトリに解決する複数のドメイン名とIPアドレスのサポートを有効にします。同じホストが、複数のNICカード(IPベース)または同じIPに解決する複数の名前(たとえば、abc.comとdef.com)に基づいて、サービスを受ける複数のサイトを持つことができます。
認証スキーム: 認証レベル、チャレンジ・メソッド、リダイレクトURL、基底にある認証モジュールを識別して、ユーザー認証を実行します。認証ポリシーをアプリケーション・ドメインに追加する際、管理者は指定のリソースとともに使用する指定された認証スキームのいずれかと、成功および失敗のURLを選択できます。
ポリシー・モデルと共有コンポーネントの詳細は、第12章「ポリシー・コンポーネントの管理」を参照してください。
アプリケーション・ドメインは、Oracle Access Manager 11gポリシー・モデルの最上位の構造です。各アプリケーション・ドメインでは、リソースまたはリソースのセットに対する論理コンテナと、特定のリソースにアクセスできるユーザーを示す、関連付けられたポリシーが提供されます。各アプリケーション・ドメイン内では、特定の共有コンポーネントが使用されます。
|
注意: セキュリティ強化のため、Oracle Access Manager 11gのデフォルトの動作では、リソースがアクセスを明示的に許可するポリシーによって保護されていない場合に、アクセスが拒否されます。対照的に、Oracle Access Manager 10gのデフォルトの動作では、リソースがアクセスを明示的に拒否するルールやポリシーによって保護されていない場合に、アクセスが許可されていました。Oracle Access Manager 10gでは、ポリシー・ドメインのコンテキスト内において認証および認可が提供されていました。対照的に、OracleAS SSO 10gは認証のみを提供します。 |
各Oracle Access Manager 11gアプリケーション・ドメインには次の要素が含まれます。
リソース
アプリケーション・ドメインの各リソース定義には、リソース・タイプ、ホスト識別子(HTTPリソースの場合のみ)、特定のリソースへのURLが必要です。アプリケーション・ドメインには必要なだけリソース定義を持つことができます。
認証ポリシーおよび特定のリソースへのレスポンス
それぞれの認証ポリシーには、一意の名前、ひとつの認証スキーム、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソース、認証が成功した後に適用される管理者が定義したレスポンスが含まれます。
認可ポリシー、制約、および特定のリソースへのレスポンス
それぞれの認可ポリシーには、一意の名前、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソースが含まれます。さらに、管理者は認可が成功するために満たす必要がある特定の制約(条件)と、認可が成功した後で適用されるレスポンスを定義できます。
|
注意: Oracle Access Manager 10gでは、管理者が定義した認可条件式(1つ以上の認可ルールを含む)の評価に応じて、認可アクションがとられるようになっています。 |
トークン発行ポリシーおよび特定のリソースに対する制約
トークン発行ポリシーは、クライアントがリクエスタ・パートナであるかエンド・ユーザーであるかにかかわらず、そのクライアントのアイデンティティに基づいて、リソース(リライイング・パーティ・パートナ)に対してトークンを発行する際に従うルールを定義します。
詳細は、第19章「テンプレート、エンドポイントおよびポリシーの管理」を参照してください。
ポリシー・モデルおよびアプリケーション・ドメインの詳細は、第13章「リソースを保護してSSOを有効化するポリシーの管理」を参照してください。
オラクル社は、Oracle Access Manager 10gアクセス・テスターの機能に代わる移植可能なスタンドアロンのJavaアプリケーションを提供します。Oracle Access Manager 11gアクセス・テスターは、OAMサーバーに接続する登録済のエージェントをシミュレートします。スクリプトによる実行では、コマンドライン処理が可能です。スクリプトを記録および再生して、様々な機能の出力を取得できます。暗号化された接続および複数のサーバー接続がサポートされています。
アクセス・テスターを使用して、サーバー接続のエージェントのトラブルシューティングを行えます。この他、リクエストおよびレスポンスのセマンティクとアクセス・ポリシーの設計のオンザフライでのテストも可能です。
詳細は、第14章「アクセス・テスターを使用した接続性とポリシーの検証」を参照してください。
Oracle Access Manager 11gは、ユーザー・セッションに単一のログアウト(グローバル・ログアウト)を提供します。Oracle Access Managerでは、単一のログアウトはアクティブなユーザー・セッションを終了するプロセスを意味します。
詳細は、第15章「OAM 11gの集中ログアウトの構成」を参照してください。
この項では、管理者がOracle Access Managerで使用できるOracle Security Token Servicesを管理する際に役に立つ情報を提供します。
この項では、このガイドの第VI部の情報を紹介し、次のトピックについて説明します。
ロギングは、重要なコンポーネント・イベントを取得するためにコンポーネントがファイルにメッセージを書き込むメカニズムです。それぞれのOracle Access Managerコンポーネント・インスタンスは、プロセスとステートの情報をログ・ファイルに書き込みます。
ロギングを構成して、様々な詳細レベルで情報を提供できます。たとえば、エラー、状態の情報を加えたエラー、またはデバッグ・トレースのレベルのエラー、状態およびその他の情報を記録できます。また、ログから機密情報を削除することもできます。詳細は、第22章「コンポーネント・イベント・メッセージのロギング」を参照してください。
また、カスタムのOracle WebLogic Scripting Tool (WLST)コマンドを使用して、OAMのロギング・レベルを変更することもできます。
各Webgateインスタンス(10gおよび11g Webgateの両方)は、プロセスおよび状態に関する情報をログ・ファイルに書き込むことができます。ログは、様々なレベルの粒度で情報を提供するように設定できます。たとえば、エラーの記録、エラーおよび状態情報の記録、またはエラーと状態に加えてデバッグ・トレース・レベルのその他の情報を記録することもできます。また、ログから機密情報を削除することもできます。
詳細は、第23章「Webgateイベント・メッセージのロギング」を参照してください。
Oracle Access Manager 11gでは、監査とは管理や認証、ランタイム・イベントに関連する、確認に固有の情報を収集するプロセスを指します。監査は、ポリシー、ユーザー・アクセス・コントロールおよびリスク管理手順への準拠を評価する上で役に立ちます。
|
注意: 監査は、すべてのOracle Access Manager 11gコンポーネントで利用できるわけではありません。ただし、ロギングはすべてのOAMコンポーネントで使用できます。 |
イベントは、基礎となるOracle Fusion Middlewareの共通監査フレームワークを使用して監査されます。このフレームワークは、データベース監査ストアを使用して、監査フレームワークにスケーラビリティと高可用性を提供します。データベースには監査スキーマを含める必要があります。
|
注意: Oracle Fusion Middleware共通監査フレームワークのデータベース監査ストアは、OAMポリシーやセッション・データを含まず、Oracle Access Managerコンソールからは構成されません。 |
管理者は、Oracle Access Managerコンソールを使用して特定の監査パラメータを制御および指定できます。Oracle Access Manager監査構成は、ファイルoam-config.xmlに記録されます。イベント構成(レベルへのイベントのマッピング)は、component_events.xmlで発生します。監査レコードには、特定の要件を満たすために構成できるアイテムのシーケンスが含まれます。
|
注意: 変更にはOracle Access ManagerコンソールまたはWebLogic Scripting Tool (WLST)コマンドのみを使用することをお薦めします。oam_config.xmlは編集しないでください。 |
Oracle Access Managerには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用して、独自のカスタム監査レポートを作成することもできます。
詳細は、第24章「管理イベントおよびランタイム・イベントの監査」を参照してください。
パフォーマンス・メトリックは、特定のイベントを完了する際にコンポーネントのメモリー内で収集できます。特定のエリアで使用された時間をモニターしたり、特定の発生や状態の変更を追跡できます。
管理者のみがOracle Access Managerコンソールのモニタリング・コマンドを使用して、Oracle Access Manager 11gのパフォーマンスを監視できます。
詳細は、第25章「Oracle Access Managerコンソールを使用したパフォーマンスの監視」を参照してください。
ライブで動的なOAMパフォーマンス・メトリックは、Fusion Middleware Controlで参照できます。
詳細は、第26章「Fusion Middleware Controlによるパフォーマンスおよびログの監視」を参照してください。
この項では、このガイドの第VII部の情報を紹介し、次のトピックについて説明します。
OAM 10g WebgateをインストールしてOAM 11gと使用するために必要なすべての事項は、第27章「OAM 11gでのOAM 10g Webgateの管理」で説明します。
OAM 11gと使用するOAM 10g WebgateのためのApache v2ベースのWebサーバー(OHSとIHS)のインストールおよび構成の詳細は、第28章「Apache、OHS、IHSの10g Webgate用の構成」で説明します。
OAM 11gと使用するOAM 10g WebgateのためのIIS Webサーバーのインストールおよび構成の詳細は、第29章「10g Webgate用のIIS Webサーバーの構成」で説明します。
OAM 11gと使用するOAM 10g WebgateのためのISAサーバーの構成に必要なすべての事項は、第30章「10g Webgate用のISAサーバーの構成」で説明します。
OAM 10g WebgateおよびOAM 11gと使用するためのLotus Dominoのインストールおよび構成に必要なすべての事項は、第31章「10g Webgate用のLotus Domino Webサーバーの構成」で説明します。
この項では、このガイドの第VIII部の情報を紹介し、次のトピックについて説明します。
表2-1では、出発点が異なるケースにおいて、OAM 11gを使用するいくつかの方法を示します。
表2-1 OAM 11g共存のサマリー
| 所有内容 | OAM 11g SSOを使用するための条件 |
|---|---|
|
OSSO 10gが統合されたOAM 10g |
付録Aで紹介しているように、OSSOのデプロイメントをOAM 11gにアップグレードできます。 |
|
Oracle HTTP Server以外のWebサーバー |
次の詳細は、第27章を参照してください。 |
|
OracleAS 10g SSO(OSSO) . |
オラクル社が提供するアップグレード・アシスタントを使用します。これは既存のOracleAS 10g SSOサーバー構成をスキャンして、10g OSSOのポリシー・プロパティ・ファイルおよびスキーマ情報を入力として受け入れ、構成されたパートナ・アプリケーションを目的地であるOracle Access Manager 11g SSOに組み込みます。 アップグレード・アシスタントおよびアップグレード後のタスクを実行した後、既存のパートナ・アプリケーション(ポータル、フォーム、レポート、Discoverer)はOSSOではなく、OAMをSSOプロバイダとして使用します。 注意: 既存のmod_ossoモジュールおよびOracleAS 10g SSOサーバー・パートナは、OAMサーバーおよびOAM 11g SSOとシームレスに動作できます。ただし、やがてすべてのmod_ossoモジュールは、OAM 11g認証ポリシーの使用を可能にするため、OAMエージェントと置き換える必要があります。 アップグレード後のOAM 11gとOSSO 10gサーバーの共存の概要は、付録Aを参照してください。 |
OAM 11gは、デプロイメント間の構成データの転送を合理化します。たとえば、小さいテスト環境から大規模な本番用デプロイメント(またはその逆)というような場合です。
詳細は、付録B「OAM 11gのソース環境からターゲット環境への移行」を参照してください。
Oracle Application Developer Framework(ADF)とOracle ADF標準にコード化されたアプリケーションは、OPSS SSOフレームワークとのインタフェースです。Oracle Platform Security Services(OPSS)のシングル・サインオン・フレームワークは、あるドメインのアプリケーションをシングル・サインオン(SSO)ソリューションと統合する方法を提供します。
ユーザー認証のために、Oracle ADFセキュリティを使用するWebアプリケーションおよびOPSS SSOフレームワークを、Oracle Access Manager 11g SSOのセキュリティ・プロバイダと統合できます。詳細は、付録C「Oracle ADFアプリケーションとOracle Access Manager 11g SSOの統合」を参照してください。
付録D「OAM 10g Webgateの国際化とマルチバイト・データのサポート」では、国際化とマルチバイト・データのサポートに関する情報を提供します。
Oracle Access Manager 11gを使用すると、資格証明の収集はHTTP(S)チャネルを使用して行われます。認可は、NetPoint Access Protocol (NAP)チャネル(Oracle Access Manager Protocol (OAP)チャネルとも呼ばれます)を介して行われます。
HTTP(S)チャネル: HTTP(S)チャネル全体の通信にsecure sockets layer(SSL)を有効にして、資格情報の転送とセキュリティ・トークンの交換を可能にすることをお薦めします。両方の機能で、証明書による署名と暗号化が必要です。
Oracle Access Manager 11gは、Webgateを含むすべてのOracle Access Managerコンポーネントで使用される証明書を管理する中央のコンポーネントとなります。
NAPチャネル: OAPチャネルとも呼ばれます。簡易モード(Oracleが署名した証明書)または証明書モード(外部の認証局)を使用して、認可中にWebgateとOAMサーバーとの間の通信を保護することをお薦めします。オラクル社では、署名済の証明書を持っているときに使用可能な、証明書のインポート・ユーティリティを用意しています。詳細は、付録E「Oracle Access Manager 11gとの安全な通信」を参照してください。関連項目:
|
注意: Oracle Access Manager 11gは、自分で署名した証明書を使用するお客様へのサポートも提供しています。 |
管理者のみがカスタムWebLogic Scripting Tool (WLST)コマンドを使用して、特定の構成タスクを実行できます。
詳細は、付録F「管理者用のカスタムWLSTコマンドの概要」を参照してください。
Oracle Access Managerは、インターネット・プロトコル・バージョン4(IPv4)をサポートしています。Oracle Fusion Middlewareは、インターネット・プロトコル・バージョン4(IPv4)およびインターネット・プロトコル・バージョン6(IPv6)をサポートしています。IPv6は、mod_wl_ohsプラグインを使用したOracle HTTP Serverで使用できます。
詳細は、付録G「IPv6クライアント用のOAM 11gの構成」を参照してください。
Oracle Application Serverシングル・サインオンでは、デプロイメントに固有のログイン、パスワード変更、およびシングル・サインオン・サーバーによるシングル・サインオフ・ページを統合するためのフレームワークが提供されます。つまり、UIのルック・アンド・フィールおよびグローバリゼーション要件に合わせてこれらのページを調整できます。
詳細は、付録H「デプロイメント固有ページの作成」を参照してください。
ヒントおよびトラブルシューティングの情報については、付録I「トラブルシューティング」を参照してください。
