Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Access ManagerとOracle Security Token Serviceの両方に共通のプロパティのナビゲート方法および構成方法を説明します。この章には次のトピックが含まれます。
この項では、ドメイン内のすべてのOAMサーバーおよびサービスによって共有される共通のシステム構成要素の概要を示します。図4-1は、「システム構成」ナビゲーション・ツリーの「共通構成」セクションを示します。
表4-1は、スイート内のすべてのサービスに適用される共通構成要素を説明しており、それぞれの詳細を確認できます。
表4-1 ナビゲーション・ツリーの「共通構成」ノード
ノード | 説明 |
---|---|
使用可能なサービス |
すべてのサービスにアクセスできます。 関連項目: 「使用可能なサービスの有効化または無効化」 |
共通設定 |
セッションの存続期間、Oracle Coherence、監査構成、デフォルトおよびシステム・アイデンティティ・ストアを含む、スイート内のすべてのサービスに適用されるプロパティおよび設定を提供します。 関連項目: 「共通設定の管理」 |
サーバー・インスタンス |
すべての登録されているOAMサーバー・インスタンスにアクセスできます。 関連項目: 第6章「共通のOAMサーバー登録の管理」 |
セッション管理 |
ユーザー・セッション管理操作にアクセスできます。 関連項目: 第7章「セッションの管理」 |
証明書検証 |
証明書失効リストおよびOCSP/CDP設定にアクセスできます。 関連項目: 「グローバル証明書検証および失効の管理」 |
データ・ソース |
Oracle Access ManagerおよびOracle Security Token Serviceの登録済ユーザー・アイデンティティ・ストアにアクセスできます。 関連項目: 第5章「共通データ・ソースの管理」 |
プラグイン |
Oracle Access Manager with Oracle Security Token Serviceの認証機能を拡張するためのカスタム・プラグインにアクセスできます。 関連項目: 『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service開発者ガイド』 |
デフォルトでは、インストール時にOracle Security Token Serviceは無効化されているため、ここで説明されているように有効化してからOracle Security Token Serviceを使用する必要があります。
図4-2は、「共通構成」セクションの「使用可能なサービス」ページを示します。このページは、サービスのステータスを表示し、サービスを有効化または無効化するコントロールを提供します。
サービス名の横にある「ステータス」フィールドの緑のチェック・マークは、サービスが有効であることを示します。中に線がある赤の円は、該当するサービスが無効であることを示します。
Oracle Security Token Serviceが有効か、無効かにかかわらず、Oracle Access Manager (OAM)は有効であることが必要です。Oracle Access ManagerはOracle Security Token Serviceを必要としません。しかし、Oracle Security Token Serviceを使用するにはOracle Access Managerが有効である必要があります。
前提条件
AdminServerが稼動している必要があります。
Oracle Access Managerコンソールのログインとサインアウト
使用可能なサービスを有効化または無効化する手順
通常どおり、Oracle Access Managerコンソールにログインします。
https://hostname:port/oamconsole/
「システム構成」タブの「共通構成」セクションから「使用可能なサービス」をクリックします。
サービスの有効化: 目的のサービス名の横にある「有効化」をクリックします(または「ステータス」のチェック・マークが緑であることを確認します)。
サービスの無効化: 目的のサービス名の横にある「無効化」をクリックします(または「ステータス」のチェック・マークが赤であることを確認します)。
共通設定は、すべてのOAMサーバー・インスタンスおよびサービスに適用されます。ここでは、次の内容について説明します。
共通設定は、スイート内のすべてのサービスに適用されます。図4-3は、「共通設定」ページの名前付きセクションを示し、これらを展開すると関連する要素および値を表示できます。
OAM管理者は、表4-2で説明されているように、単一のサービスのみでなくスイート全体で使用されるパラメータを制御および指定できます。
表4-2 共通設定
タブ名 | 説明 |
---|---|
セッション |
セッション管理とは、ユーザー・セッションのライフサイクル要件を管理するプロセスと、グローバル・ログアウトを可能にするためのセッション・イベントの通知を指します。エンティティのセッションのログアウトでログアウトがすべてのエンティティに伝播していることを確認するには、OSSOエージェント(mod_osso)のグローバル・ログアウトが必要です。 関連項目: 「共通設定の管理」。 |
コヒーレンス |
すべてのOAMサーバーで共有される共通のOracle Coherence設定は、個々のOAMサーバーの設定とは異なります。ただし、どちらの場合でも、Oracleサポートの指示がない限りは、これらの設定を調整しないことをお薦めします。 関連項目: 「共通設定の管理」。 |
監査構成 |
Oracle Access Managerは、多数の管理イベントおよび実行時イベントの監査、統一されたロギングおよび例外処理、すべての監査イベントの診断をサポートしています。Oracle Access Manager監査構成は、 関連項目: 「共通設定の管理」。 |
デフォルトおよびシステム・アイデンティティ・ストア |
このセクションは、デフォルト・アイデンティティおよびシステム・ストアを識別し、これは同じ(または異なる)ものになる場合があります。 関連項目: 「共通設定の管理」。 |
関連項目: すべてのOAMコンポーネントに共通の他の操作の詳細: |
有効なOAM管理者の資格証明を持つユーザーは、次のタスクを実行して、「共通設定」ページの表示および変更の実行ができます。それぞれの主な手順には、このマニュアル内に記載されている詳細への参照が含まれています。
前提条件
OAMサーバーが稼動している必要があります。
共通設定を管理する手順
「システム構成」タブから、「共通構成」セクションを展開し、ナビゲーション・ツリーの「共通設定」をダブルクリックします。
セッション:
「共通設定」ページで「セッション」セクションを展開します。
必要に応じて、各リストの横にある矢印キーをクリックしてセッションのライフサイクル設定を増減させます。
ボックスを選択してアクティブ・セッションのデータベース永続性を有効化します(または選択を解除してデータベース永続性を無効化します)。
「適用」をクリックして変更を送信します。
関連項目: 第7章「セッションの管理」。
コヒーレンス: 「共通のコヒーレンス設定の表示」を参照してください。
監査構成:
「監査構成」セクションを開きます。
「監査構成」セクションで、使用環境の詳細を正しく入力します。
「適用」をクリックして「監査構成」を送信します(または変更を適用しないでページを閉じます)。
関連項目: 第24章「管理イベントとランタイム・イベントの監査」。
デフォルトおよびシステム・アイデンティティ・ストア:
「デフォルトおよびシステム・アイデンティティ・ストア」セクションを展開します。
システム・ストア(またはデフォルト・ストア)の名前をクリックし、構成ページを表示します。
詳細は、「デフォルト・ストアおよびシステム・ストアの設定」を参照してください。
図4-4は、「コヒーレンス」セクションを展開した「共通設定」ページを示します。
注意: Oracleサポートの支援なしにこれらの設定を変更しないことをお薦めします。 |
表4-3は、これらの設定について説明します。
表4-3 共通のコヒーレンス設定
要素 | 説明 |
---|---|
ポート |
1から65535の範囲の値を指定できます。 |
クラスタ・アドレス |
224.1.255.0から239.255.255.255の値が許可されます。 |
存続時間 |
0から255の値がサポートされます。 |
クラスタ・ポート |
1から65535の範囲の値を指定できます。 |
共通のコヒーレンス設定を表示する手順
「システム構成」タブから「共通構成」セクションを展開し、「共通設定」をダブルクリックします。
「共通設定」ページで「コヒーレンス」セクションを展開します。
終了する場合はページを閉じます。
ここでは、次の内容について説明します。
Oracle Access Managerは、オンライン証明書ステータス・プロトコル(OCSP)を使用して、サーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスします。OCSPは、X.509デジタル証明書の失効ステータスの取得に使用されます。OCSPは、証明書ステータスを含むサーバーとそのステータスを通知されるクライアント・アプリケーションの間の通信構文を指定します。
OCS応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻すことができます。
証明書検証モジュールはOSTSによって使用され、次を使用してX.509トークンを検証し、証明書が失効しているかどうかにかかわらず必要かどうかを検証します。
証明書失効リスト(CRL)
Online Certificate Status Protocol
CRL配布ポイント拡張(CDP拡張)
証明書失効リスト(CRL)は、公開鍵インフラストラクチャを使用する場合のネットワーク内のサーバーへのアクセスを保守する一般的な方法です。CRLは、デジタル証明書ステータスとペアになったサブスクライバのリストです。失効した証明書は理由とともにリストされます。証明書発行の日付および発行したエンティティも含まれます。さらに、各リストには次のリリースの提示日が含まれます。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。
図4-5は、コンソールのグローバル証明書検証のOCSP/CDP設定を示します。
図4-6は、コンソールを使用したCA CRLの追加を示します。
OAM管理者の資格証明を持つユーザーは、次の手順を使用してサーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスできます。これは、連続したデータ保護の有効化および現在のCA証明書失効リストのインポートによって実現されます。
前提条件
CA証明書失効リスト(CA CRL)をインポートできるようにします。
証明書失効リストを管理する手順
Oracle Access Managerコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リスト」ノードを開き、次のようにします。
「有効」ボックスが選択されていることを確認します。
追加: 「追加」ボタンをクリックし、CRLファイルを参照して選択し、「インポート」をクリックします。
削除: 表内のリスト名をクリックし、「削除」(x)ボタンをクリックし、確認が表示されたら確認します。
構成を保存します。
CRLを検索します。
表を確認します。
例による問合せを有効化し、表のヘッダー・フィールドにフィルタ文字列を入力します。
「証明書検証の管理」に進みます。
OAM管理者の資格証明を持つユーザーは、次の手順を使用してサーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスできます。これは、オンライン証明書ステータス・プロトコルを有効化することによって実現されます。
前提条件
CA証明書失効リスト(CA CRL)をインポートできるようにします。
証明書検証を管理する手順
Oracle Access Managerコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リスト」ノードを開きます。
「有効」ボックスが選択されていることを確認します。
構成を保存します。
OCSP/CDPノードを開きます。
OCSPを有効化します。
OCSPサービスのURLを入力します。
OCSPサービスのサブジェクトDNを入力します。
この構成を保存します。
「CDPの構成」に進みます。