Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Access Managerコンソールを使用してOAMサーバー・インスタンスの登録をプロビジョニングおよび管理する方法を説明します。
トピックは次のとおりです。
次の環境的な考慮事項が満たされていることを確認してください。
Oracle WebLogic Server管理コンソールまたはWLSTコマンドを使用して、新しい管理対象サーバーがドメインに追加されている。
必要に応じて、Oracle JRFテンプレートが管理対象サーバー(またはクラスタ)に適用されている。詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
「OAMサーバー登録および管理の概要」に目を通すことをお薦めします。
注意: 特に指定のないかぎり、Oracle Access Managerのみを使用している場合も、Oracle Security Token Serviceとともに使用している場合も情報は同じです。 |
この項の次のトピックでは、Oracle Access Managerサーバー・インスタンスの登録と管理について説明します。
表6-1は、Oracle Access Manager 11g、OAM 10gおよびOracleAS SSO 10gのサーバー側の違いの概要を示します(表1-2の全体的な比較から抽出)。
表6-1 サマリー: OAM 11g、OAM 10gおよびOSSO 10gのサーバー側の違い
OAM 11g | OAM 10g | OSSO 10g | |
---|---|---|---|
サーバー側のコンポーネント |
|
|
|
暗号化キー インターネット上での情報交換の保護に使用されるプロトコル。 |
|
Webgateごとにグローバル共有秘密鍵1つ |
|
キー・ストレージ |
|
ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(Webgateに対してはアクセス不可) |
|
管理者は、1つ以上の管理対象サーバーをOracle Access Manager with Oracle Security Token ServiceのWebLogic Serverドメインに追加できます。
WebLogic構成ウィザードを使用するときに、OAMサーバーは自動的に登録されます。ただし、構成ウィザードを使用しない場合は、通信チャネルを開くためにOAMサーバーを手動で登録する必要があります。
注意: Oracle Access ManagerとOracle Security Token Serviceについて、サーバー登録に違いはありません。 |
または、OAM用のカスタムWLSTコマンドを使用して、サーバー登録を表示、編集または削除できます。すべての変更は自動的にOracle Access Managerコンソールおよびクラスタ内のすべてのOAMサーバーに伝播されます。
OAMサーバーのみがOracle Access Manager 11gに登録されます。WebLogic管理サーバー上のOracle Access Managerコンソールは、自身には登録されません。
OAMサーバーの登録方法に関係なく、詳細(つまり、登録)はOracle Access Managerコンソールの「システム構成」タブの下にまとめられ、Oracle Access Managerコンソール内のOAMサーバー登録の詳細には次が含まれます。
サーバー名、ホスト、ポート
プロキシ: レガシー・アクセス・サーバーとして実行され、通信のセキュリティ・モードを定義します。詳細は、次を参照してください。
Oracle Coherence: セッション・データを含む様々なOAMサービスに分散されたキャッシュを提供します。
管理者は特定のインスタンス登録を検索し、新しくインストールされたOAMサーバーを登録して、Oracle Access Managerコンソールを使用してサーバー登録を表示、変更または削除できます。詳細は、「OAMサーバー登録のページについて」を参照してください。
Oracle Access Manager 11gのサーバー側コンポーネントは、既存のOracle Access Manager 10gポリシー強制エージェント(OAM 10G Webgateおよびアクセス・クライアント)およびOracleAS SSO 10g mod_osso (11gでOSSOエージェントと呼ばれる)との下位互換性を保持します。
レガシーOAM 10g SSO: OAMプロキシは複数のアクセス・クライアントから同時にリクエストを受け入れることができ、すべてのWebgateおよびアクセス・ゲートがOracle Access Manager 11gサービスとやり取りできるようにします。詳細は、「「OAMプロキシ」ページ」を参照してください。
レガシーOracleAS 10g (OSSO): 統合されたOSSOプロキシは、OAM 11g使用時のOSSOエージェントを使用した認証中に、トークン生成およびトークン・リクエストに応じた検証を処理します。OSSOプロキシに構成は必要ありません。第9章および第10章の説明に従って、OSSOエージェントをOAM 11gに登録するのみです。
OAM 10gがOracleAS(OSSO)10gに統合されて使用されている古いデプロイメントがある場合、OAM 11g SSOを使用するようにOracleAS SSOをアップグレードできます。
OAM 11gを使用するようにOSSOをアップグレードした後、OAM 10g WebgateをOAM 11g SSOの同じデプロイメントと動作させることができます。この場合は、必要に応じてOAMプロキシがOAM 10g AccessサーバーまたはOAM 11gサービスのどちらかにリクエストを転送します。
OAM 10g ObSSOCookieは、暗号化されたセッション・ベースのシングル・サインオンcookieで、ユーザーの認証が成功すると生成されます。OAM 10g ObSSOCookieはユーザー・アイデンティティ・ストア情報を格納し、必要があればユーザーはそれをキャッシュ化できます。
統合されたOAMプロキシは、10g ObSSOCookieのAES暗号化アルゴリズムをサポートして、リリース10g Webgateとの下位互換性を可能にします。10g Accessサーバーは、OAM 11gプロキシによって作成されたcookieを復号化できます(その逆も可)。これによって、OAM 11gが認証を実行し、OAM 10gが認可を行えるようになります(その逆も可)。
注意: OAMプロキシによって作成されたOAM 11g ObSSOCookieは、Oracle Access Manager 10gアクセス・サーバーによって作成されたObSSOCookieと互換性があります。 |
詳細は、「「OAMプロキシ」ページ」を参照してください。
OAPチャネルの通信モードには次のものがあります。
オープン: 通信のセキュリティがデプロイメントで問題にならない場合、この暗号化されていないモードを使用してください。
簡易: 認証局(CA)を自分で管理せずに証明書パスワードをプレーン・テキスとして送信するなど、セキュリティ上の考慮事項がある場合に、このオラクル社が署名する証明書モードを使用します。
証明書: OAMサーバーとWebgateで異なる証明書を使用し、信頼できるサード・パーティの認証局にアクセスがある場合に、これを使用します。
個々のOAMサーバー登録で、セキュリティ・モードは「プロキシ」タブで定義されます。この詳細は「OAMサーバー登録のページについて」にあります。
「簡易」と「証明書」のモードには次が必要です。
すべてのOAMサーバーとWebgateに共通のセキュリティ・パスワード(「OAMプロキシの「簡易」および「証明書」モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。
適切に署名されたX.509デジタル証明書(付録E「Oracle Access Manager 11gとの安全な通信」を参照してください)。
少なくとも1つのOAMサーバー・インスタンスが、エージェント登録時にエージェントと同じモードで実行中である必要があります。そうでなければ、エージェント登録が失敗します。ただし、エージェント登録の後に、OAMサーバーの通信モードは変更できます。エージェントとサーバー間の通信は、WebgateモードがOAMサーバーのモードと同じか、またはそれ以上であれば続けて機能します。エージェント・モードは高くでも問題ありませんが、低くすることはできません。たとえば、OAMサーバーのモードがオープンの場合、エージェントは3つのモードのどれでも通信できます。OAMサーバー・モードが簡易の場合、エージェントは簡易または証明書を使用できます。OAMサーバー・モードが簡易の場合、エージェントは証明書モードを使用する必要があります。
この項では、Oracle Access Managerコンソールを使用して、OAMサーバー・インスタンスを登録および管理する方法を説明します。次の項目について説明します。
有効な管理者の資格証明を持つユーザーは、Oracle Access Managerコンソールを使用して、新しくインストールされた管理対象サーバー(OAMサーバー・インスタンス)を登録したり、既存のOAMサーバー登録を変更できます。
または、OAM用のカスタムWLSTコマンドを使用して、OAMサーバー・インスタンスを登録および管理できます。変更はOracle Access Managerコンソールに反映されて、クラスタ内のすべてのOAMサーバーに自動的に伝播されます。
図6-1は、Oracle Access Managerコンソールから見た一般的なOAMサーバーの登録ページを示します。
個々のサーバー登録設定の説明は、表6-2にあります。
表6-2 OAMサーバー・インスタンスの設定
要素 | 定義 |
---|---|
サーバー名 |
このサーバー・インスタンス名を識別する名称。WebLogic Serverドメインの初回デプロイメント時に定義されています。 |
ホスト |
サーバー・インスタンスをホストするコンピュータのフルDNS名(またはIPアドレス)。例: host2.domain.com。 |
ポート |
このサーバーが通信(リスニングと応答)するポート。 デフォルト: 5575 注意: SSLと管理対象サーバーの開いているポートがどちらも有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。SSL以外のポートを使用することが必要な場合、認証スキームの資格証明コレクタURLを、プロトコルおよび非SSLポートとして'http'をポイントする絶対URLに設定する必要があります。 |
プロキシ |
「「OAMプロキシ」ページ」を参照してください。 |
コヒーレンス |
「個々のサーバーの「コヒーレンス」ページ」を参照してください。 |
統合されたプロキシ・サーバー(OAMプロキシ)が、Oracle Access Manager(OAMサーバー)の各管理対象サーバーとともにインストールされます。OAMプロキシはレガシー・アクセス・サーバーとして使用され、OAM 11gに登録されたOAM 10gエージェントの下位互換性を提供します。エージェントは新しくインストールするか、OAM 10g SSOデプロイメント内で現在動作中でもかまいません。
それぞれのOAMプロキシ・インスタンスには、異なるポートが必要です。プロキシは、アプリケーションが起動するとリスニングを開始します。登録されたアクセス・クライアントは、プロキシとすぐに通信できます。
OAMプロキシは、構成と実行時のイベントを両方処理します。それぞれのOAMプロキシは、複数のアクセス・クライアントからのリクエストを同時に受け入れることができます。各OAMプロキシによって、OAMアクセス・クライアントはOracle Access Manager 11gサービスとやり取りが可能になります。内容は次のとおりです。
10g (10.1.4.3) Webgate
10g (10.1.4.2.0) Webgate
10g (10.1.4.0.1) Webgate
11g Webgate(プロキシ不要)
注意: アクセス・クライアントについては、OAM 11gは認証と認可の機能のみを提供します。アクセス・クライアントによるポリシーの変更はサポートされていません。 |
OAMプロキシ設定は、表6-3の詳細から構成されます。
表6-3 個別のOAMサーバーのOAMプロキシ設定
OAMプロキシ設定 | タイプ | 値 |
---|---|---|
ポート |
int(整数) |
このOAMプロキシ・インスタンスがリスニングする一意のポート。 |
プロキシ・サーバーID |
OAMプロキシ(およびこのOAMサーバー・インスタンス)が存在するコンピュータの識別子。DNSホスト名が推奨ですが、有効かつ適切な任意の文字列を使用できます。 |
|
モード |
OAMプロキシのOAMチャネル・トランスポート・セキュリティは、次のいずれかを使用できます(エージェント・モードは登録時に一致する必要があり、登録後に上げることができます)。
注意: 「簡易」および「証明書」のトランスポート・セキュリティ・モードは、「OAMサーバー共通プロパティ」の「OAMプロキシ」タブで定義された情報により制御されます(「OAMプロキシの「簡易」および「証明書」モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。 関連項目: 「簡易」および「証明書」トランスポート・セキュリティ・モードを構成する場合は、付録E。 |
OAMプロキシ・ロギング: Oracle Access Manager 11gコンポーネントは、他のOracle Fusion Middleware 11gコンポーネントと同じロギング・インフラストラクチャを使用します(第24章を参照してください)。しかし、OAMプロキシはロギングにApache log4jを使用します。
Coherenceは、信頼性があり、スケーラビリティの高いピアツーピア・クラスタリング・プロトコルの上に、レプリケートおよび分散(パーティション)されたデータ管理およびキャッシング・サービスを提供します。Coherenceには単一障害点がなく、サーバーが動作不能になった場合やネットワークから切断された場合に、クラスタ化データ管理サービスを自動的および透過的にフェイルオーバーおよび再分散します。
新しいサーバーが追加されたり、障害の起きたサーバーが再起動されると、サーバーは自動的にクラスタに加わってCoherenceはサービスをそのサーバーにフェイルバックして、クラスタ・ロードを透過的に再分散します。Coherenceには、サーバーが自己修復できるようにするネットワーク・レベルの耐故障性機能と透過的なソフト再起動の機能があります。
Coherenceモジュールは、図6-1に示すように、値と個々のサーバー・インスタンスのタイプから構成されます。
警告: Oracleサポートから指示がない限り、個々のサーバーのOracle Coherenceの設定を変更しないようお薦めします。 |
表6-4 個別のOAMサーバーのデフォルトのCoherence設定
Coherenceモジュール | エントリのタイプ | 説明とデフォルト値 |
---|---|---|
LogLevel |
文字列 |
OAMサーバー・イベントのCoherenceログ・レベル(0から9)。 |
LogPort |
int(整数) |
WebLogic Serverでロギングを行うCoherenceのニスニング・ポート。 |
LogLimit |
文字列 |
Coherenceのログ制限 |
Coherenceのロギング: WebLogic Serverログにのみ表示されます。Oracle CoherenceのログからOracle Access Managerのログへの橋渡しはありません。Oracle Fusion Middleware 11gロギング・インフラストラクチャの詳細は、第22章を参照してください。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access Managerコンソールを使用して新しい管理対象サーバー(OAMサーバー)のインスタンスを登録できます。
注意: エージェントと通信するには、それぞれのOAMサーバーが登録されている必要があります。 |
前提条件
新しい管理対象サーバーのインスタンスが、Oracle WebLogic Serverドメインで構成され、まだ起動されていない状態である必要があります。
OAMサーバー・インスタンスの登録の手順
新しい管理対象サーバー・インスタンスをOracle WebLogic Serverドメインにインストールして構成し、このインスタンスを起動しないでください。
通常どおり、Oracle Access Managerコンソールにログインします。
「サーバー構成」タブの「共通構成」セクションから「サーバー・インスタンス」をクリックし、ツール・バーの上にある「作成」ボタンをクリックして新しいページを開きます。
「作成: OAMサーバー」ページで、表6-2のとおりにインスタンスの詳細を入力します。
サーバー名
ホスト
ポート
プロキシ: このOAMプロキシ・インスタンスの詳細を入力または選択します。詳細は表6-3にあります。
ポート
プロキシ・サーバーID
モード(オープン、簡易、証明書)
Coherence: Oracleサポートから指示がない限り、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。
構成を送信するには「適用」をクリックます。構成はナビゲーション・ツリーに表示されます。または、変更を適用せずにページを閉じてください。
新しく登録したサーバーを起動します。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access Managerコンソールを使用して個々のサーバー・インスタンスの設定を表示または変更できます。たとえば、リスニング・ポートやプロキシ通信のトランスポート・セキュリティ・モードの変更が必要になる場合があります。
変更はすぐにOracle Access Managerコンソールに表示され、クラスタ内のすべてのOAMサーバーに伝播されます。
関連項目:
|
サーバー・インスタンスの登録を表示または変更する手順
「システム構成」タブの「共通構成」セクションから、ナビゲーション・ツリーで「サーバー・インスタンス」ノードをクリックして展開します。
希望するインスタンス名をダブルクリックして構成を表示し、次の作業を実行します。
表示のみ: 詳細の閲覧が終わったら、ページを閉じます。
変更: 残りの手順を実行して、構成を編集します。
「OAMサーバー」ページで、表6-2に従ってインスタンスの詳細を変更します。
プロキシ: 表6-3に従ってこのOAMプロキシ・インスタンスの詳細を変更します。
Coherence: Oracleサポートから指示がない限り、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。
「適用」をクリックして、変更を送信します(または変更を適用しないでページを閉じます)。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行してサーバー登録を削除できます。削除すると、OAMサーバーが無効になります。
前提条件
サーバー登録を削除する手順
「システム構成」タブの「共通構成」セクションから、ナビゲーション・ツリーで「サーバー・インスタンス」ノードをクリックして展開します。
希望するインスタンス名をダブルクリックして詳細を確認してから、ページを閉じます。
希望するインスタンス名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。
インスタンスがナビゲーション・ツリーから削除されたことを確認します。
WebLogic Server管理consoleからインスタンスを削除して、サーバー・インスタンスの削除を完了します。
あとは管理対象サーバー・ホスト上のノード・マネージャが自動的に処理します。