| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この章では、セッション管理の概念とOracle Access Manager 11gでの手順について説明します。この章の内容は次のとおりです。
この章のタスクを行うには次のことを確認または理解する必要があります。
一般的に、ユーザーがWebサイトにアクセスすることをセッションと呼びます。Oracle Access Manager 11gでは、ユーザーはOracle Access Managerの認証サービスを通じて認証を受け、Oracle Access Managerに保護されたリソースにアクセスしなければなりません。
Oracle Access Manager 11gのセッション管理とはユーザー・セッションのライフサイクル要件を管理し、セッション・イベントを通知してグローバル・ログアウトを有効にするプロセスを言い、
Oracle Access Manager 11gのセッション管理エンジン(Session Management Engine: SME)は、セッション・イベントと通知のコントローラとして動作するSSOエンジンとのインタフェースを取ります。SMEサービスはユーザー・セッション・データの自動生成、更新、および管理を可能にし、管理者によるセッション・ライフサイクルの構成、および特定アクティブ・セッションの検索と削除を可能にします。
|
注意: ユーザーは、同じセッションの間、登録されたOAMエージェントとOSSOエージェントの両方に保護されたリソースにアクセスできます。 |
Oracle Access Managerのインストールと構成の際には、セッション・データ・ストレージを選択する必要があります。クラスタ内のすべてのサーバーには同じストレージ・メカニズムが適用されますが、これはインストール後に変更できます。
セッション・データは、待機時間、可用性、およびリソース消費のバランスを取るために複数の層に保存されます。これには次のものが含まれます。
管理されている各Oracle Access Managerサーバーのローカルのメモリー内キャッシュ
このキャッシュには、アクティブ・サーバー・リクエストに使用するセッション・データが格納されます。現在使用されていないデータを迅速に排除するために短いTTLが使用されます。
管理されているすべてのOracle Access Managerサーバーによって共有される分散メモリー内キャッシュ
このキャッシュには、Oracle Coherenceによる管理のためにシリアル化されたセッション・データが格納されます。Coherenceを使用すれば、エージェントがコンタクトしてセッション関連のアクセス・リクエストを行うことのできるすべての管理サーバーで、セッション・データを使用できます。また、Coherenceは実行中のサーバー間でこのデータを複製して、フォールトトレランス性を提供します。分散キャッシュ内のエントリは、TTLではなく、マシンごとに適用される全体的なキャッシュ・メモリー・サイズに基づいて排除されます。
最大キャッシュ・メモリー・サイズに達すると、次のどちらのアクションが取られます。
セッション・ストアが有効になると、スペースを確保するために分散キャッシュからエントリが排除されます。これらのエントリはデータベース内には存在しており、必要な場合は分散キャッシュに呼び戻すことができます。
セッション・ストアが有効になっていない場合は、フォールバック・メカニズムとしてローカル・マシン上のフラット・ファイルにエントリが書き込まれます。このファイル内のエントリ数がそのアクティブ・セッション合計数のパーセンテージとともに増えるに従い、パフォーマンスは低下していきます。
|
注意: ユーザーがログアウトした時、またはセッションが期限切れとなった時は、メモリ内ストアからセッション・データが自動的に削除されます。詳細は「ユーザー・セッションのライフサイクルについて」を参照してください。 |
OAM 11gでは、OAMポリシー・データと(オプションで)OAMユーザー・セッション・データを保存するためのデータベースが必要です。このデータベースは、(何十万という同時ログインが行われるような)非常に大きなデプロイメントにフォールトトレランス性とスケーラビリティを提供します。
セッション・ストアには、セッション変更ごとに最新のデータが書き込まれます(ステップアップ認証はセッション変更の一例です)。これは非同期で行われるので、セッションの作成や更新を伴うリクエストの待機時間に影響しません。セッション・データは不意の電源異常時にも使用できます。
OAMセッション・データを保存するには、OAM固有のスキーマによってデータベース・セッション・ストアを開く必要があります。
OAMの固有スキーマによってRCUを使用し、ポリシー・ストアまたはセッション・データ・ストアとしてデータベースを設定します。
データベース・ポリシー・ストア構成テンプレートとともにOracle Access Managerを使用してOAMを有効にし、ポリシー・ストアおよびセッション・データ・ストアとしてデータベースを使用します。
Oracle Access Manager 11gはOracle Coherenceを使用して分散キャッシュのデータ・アクセス待機時間を短縮し、分散キャッシュ間で(およびセッション・ストアへ)データを透過的に移動します。セッション・データは、これらの層の間で冗長性を有しています。たとえば、セッションが作成されると、そのセッションを作成したサーバー上のローカル・キャッシュ内、分散キャッシュ、および(有効になっている場合は)セッション・ストア・データベース上にも同じものが複製されます。詳細は、「Oracle Coherenceとセッション管理」を参照してください。
管理者はユーザー・セッション・ライフサイクルを構成して、ユーザー・セッションの最大持続時間、ユーザーが再認証を必要とするまでの非活動時間、各ユーザーの持つアクティブ・セッションの最大数を定義できます。セッションの期限切れを設定すれば、ユーザーのログイン時とログアウト時にのみサーバーから認識できるOSSOエージェント(mod_osso)との相互運用性を有効にできます。詳細は、「ユーザー・セッションのライフサイクル設定の構成」を参照してください。
各セッションは固有のものであり、同じユーザーの別のセッションと区別するために、ユーザーIDとセッションIDによって識別されます。管理者は、特定のユーザーもしくはすべてのユーザーの1つまたは複数のアクティブ・セッションを特定して、削除できます。たとえば、開いているセッションの数が多過ぎるユーザーは、改めてセッションを開始できるように、管理者に連絡してそのセッションの一部または全てを削除するよう求めることができます。詳細は、「アクティブ・ユーザー・セッションの管理」を参照してください。
Oracle Access Manager 11gは、Tangosol Coherenceを使用して分散インストレーション内のセッション状態をレプリケートします。Coherenceを使用して、Oracle Access ManagerコンソールとOAMサーバーの間の状態変更を通信します。クラスタ検出およびハートビートについて、Coherenceはユーザー・データグラム・プロトコル(UDP)に基づきます。OAM 11gの特定のコンポーネント間にファイアウォールが存在する場合、Coherenceによって使用される対応したUDPポートが開いている必要があります。そうでない場合、OAM 11gが正しく機能しない可能性があります。詳細は、「Coherenceの使用」を参照してください。
ユーザー・セッションのライフサイクル設定は、Oracle Access Managerコンソールを使用して定義できます。WebLogic Scripting Toolには、セッション管理のためのオプションは含まれていません。
ユーザー・セッションのライフサイクルとは、ユーザー・セッションの開始から終了までのユーザー・アクティビティの時間を言います。セッション・ライフサイクルの状態には次のものがあります。
アクティブ: ユーザーがOracle Access Managerによって認証されるとセッションが開始されます。ユーザーがOracle Access Managerに保護されたコンテンツをリクエストし、なおかつセッションの期限が切れない限り、セッションはアクティブ状態に維持されます。
非アクティブ: セッション・ライフサイクル構成の「アイドル・タイムアウト」属性によって定義された時間にわたってユーザーがOAM保護コンテンツにアクセスしないと、そのセッションは非アクティブになります。
期限切れ: セッション持続時間が、「セッションの存続期間」属性によって定義された時間を超えました。
定められた「アイドル・タイムアウト」時間にわたってユーザーが何もしないと、アクティブ・セッションは非アクティブになります。セッション継続時間が定められた「セッションの存続期間」を超えると、そのセッションは期限切れとなります。
セッション管理エンジンは、非アクティブ・セッションのリストを維持します。アクティブ・セッションが非アクティブになるか期限切れになると、ユーザーは再認証をしなければなりません。期限切れとなったセッションのデータは自動的にメモリー内キャッシュ(またはオプションのSMEデータベース)から削除されます。管理者が削除できるのはアクティブ・ユーザー・セッションのデータのみです。
OSSO GITOのサポート: 特別な場合には、OAM 11gサーバーで使用する複数タイプのエージェント(mod_ossoとWebgate)が関係するタイムアウトをサポートするためのGITO Cookieが必要です。これが有効になっている時に(editGITOValues WLSTコマンドを使用)ユーザーがアクティブ・セッション(OAMエージェントによるもの)をそのままにしてOSSOエージェントによるセッションを開始した場合、そのユーザーが最初のセッション(OAMエージェントによるもの-その時点では非アクティブ)に戻ると、セッション管理エンジンはOAMエージェントでの休止時間とOSSOエージェントでの活動時間のリコンシリエーションを行い、OSSOエージェントのグローバル・ログアウトができるようにします。切断された状態でセッションが稼動しているとしても、アイドル・タイムアウトは適切な形で適用されます(mod_ossoリクエストが実行されてもWebgateによって行われることはなく、サーバーから見るとそのセッションはアイドル・アウトしているように見えます)。
|
注意: セッション管理エンジンは、OSSOエージェントでの活動時間に対してOAMエージェントでの休止時間のリコンシリエーションを行い、OSSOエージェントのグローバル・ログアウトができるようにします。詳細は「mod_osso Cookie」を参照してください。 |
OAMエージェントに対するユーザー・セッションのライフサイクル設定は、Oracle Access Managerコンソールを使用して定義できます。WebLogic Scripting Toolには、セッション管理のためのオプションは含まれていません。
この項では、メモリー内キャッシュとSMEセッション・データ・ストアとして構成されたデータベースによるセッション管理において、組み込みのOracle Coherenceデータ管理およびキャッシング・サービスを使用する方法を説明します。
|
注意: OAMサーバー間で共通のセッション状態を維持するには、Coherenceインフラストラクチャのクラスタ・メンバーをネットワーク接続する必要があります。ネットワーク・コンポーネントに障害が発生した時にもOAMセッション・データの共通性を必要とするデプロイメントには、冗長ネットワーキング・インフラストラクチャを使用することをお薦めします。 |
Oracle Coherenceは、セッション・データを複製してクラスタ内のすべての管理サーバーに分散します。クライアントはセッション・データの場所を意識せずに処理を行うことができます。Oracle Coherenceのトラフィックは自動的に暗号化されます。セッション管理エンジンは、必要に応じて他のOracle Access Managerコンポーネントにセッション・オブジェクトを開示します。データ待機時間を補正してオブジェクトのシリアル化とネットワーク転送を考慮に入れるために、キャッシュは、短命のセッション・オブジェクトを使用時に保持しておくためのニア・キャッシュとして構成されています。
|
注意: Oracle Coherenceのトラフィックは自動的に暗号化されます。 |
Oracle Coherenceはフェイルオーバーとリコンシリエーションも行います。たとえば、1つの管理サーバーに障害が発生した場合、Oracle Coherenceは障害発生サーバーのデータを、他の管理サーバー・ホストの分散メモリー内キャッシュへ自動的に分散します。
図7-1に、組込みのOracle Coherenceによるセッション・データの保存を示します。説明は図の下のリンクをクリックしてください。
|
注意: Oracle Access Managerコンソールは、WebLogic AdminServerに存在するアプリケーションです。セッション・データはAdminServerには保存されません。Oracle Access Managerコンソールからセッション管理操作を行うには、OAMサーバーが稼動している必要があります。 |
プロセス概要: 認証成功後のSSOセッション・データの保存
セッションが作成されてセッションIDが割り当てられ、分散メモリー内キャッシュにセッション・データが保存されます。リソースをホストするコンピュータ(この例では管理サーバー1)上に、ローカルのメモリー内キャッシュにコピーを短期間保持しておくことができます。
間もなく、ローカルのメモリー内キャッシュはセッション・データを同じホスト上の分散メモリ内キャッシュへ転送します。
|
注意: 分散メモリー内キャッシュの割当てメモリー・スペースが足りない場合は最も古いセッションがキャッシュから排除され、データベースが構成されている場合はそこに保存されます。セッション管理エンジンが分散セッション・ストアのみを使用するように構成されている場合、セッションはフラット・ファイル内に置かれます。 |
セッションが変わると、Oracle CoherenceはOAMサーバー(この例では管理サーバー2)の分散キャッシュ内にあるセッションデータを更新して複製し、分散します
|
注意: 同じセッション・データは2つのホスト(オリジナル・ホストと他の1つ)にのみ保存されます。 |
オプションのデータベース・ストアを使用している場合、Oracle Coherenceはそのデータベース・ストアにもオリジナル・ホストのセッション・データを分散します。
|
注意: データベース・ストアにはオリジナル・ホストのセッション・データのみが書き込まれます。 |
新しいリソース・リクエストが行われて、リソースをホストしているコンピュータ(この例では管理サーバー3)のローカルのメモリー内キャッシュにセッション・データが保存されます。
間もなく、ローカルのメモリー内キャッシュはセッション・データを同じホスト(この例では管理サーバー3)上の分散メモリー内キャッシュへ転送します。
セッションが変わると、Oracle CoherenceはOAMサーバー(管理サーバー2とオプションのSMEデータ・ストア)の分散キャッシュ内にあるセッションデータを更新して複製し、分散します。
|
注意: 同じセッション・データは2つのホスト(オリジナル・ホストと他の1つ)にのみ保存されます。データベース・ストアにはオリジナル・ホストのセッション・データのみが書き込まれます。 |
OAMエージェントによって使用されるものと同じアクティブ・セッション内でOSSOに保護されたリソースをユーザーがリクエストする場合がありますが、OSSOユーザーのログインおよびログアウトのみがOAMサーバーによって認識されます。エージェント間の共存を有効にできます。
|
注意: ユーザーは、OAMに保護されたリソースで作業をしながら、OSSOに保護されたリソースにアクセスできます。OAMに保護されたリソースを放置すると、アイドル・セッション・タイムアウトとなることがあります。しかし、ユーザーがOAM保護されたリソースに戻ると、Oracle CoherenceはOSSOエージェントでの作業時間に対してOAMエージェント・セッションの休止時間のリコンシリエーションを行い、グローバル・ログアウトができるようにします。 |
この項の内容は次のとおりです。
ユーザー・セッションのライフサイクル設定は、すべてのOAMサーバーが共有する共通設定の一部です。図7-2は、「共通設定」ページの構成可能なライフサイクル属性を示しています。
表7-1に、共通セッションのライフサイクル設定およびそのデフォルトを示します。セッションは切断モードで動作させることができます(たとえばmod_osso)。したがって、セッション規則を確立する構成の変更は、新しいセッションのみに適用されます。変更をただちに適用する必要がある場合は既存のセッションを終了し、ユーザーには新規則に適合するセッションを新たに作成させることをお薦めします。
表7-1 共通セッション設定
| 設定 | 説明 |
|---|---|
|
セッションのライフタイム |
ユーザーの認証セッションが有効な状態に維持される時間(分)。ライフタイムに達すると、そのセッションは期限切れとなります。 デフォルト = 480分 このタイムアウト設定を無効にするには、値0を指定します。-2147483648から2147483647の任意の値が許可されます。 注意: 期限切れセッションのセッション・データは、メモリー内キャッシュ(またはデータベース)から自動的に削除されます。 |
|
アイドル・タイムアウト |
ユーザーの認証セッションが、Oracle Access Managerに保護されたリソースにアクセスすることなく有効な状態に維持される時間(分)。これよりも長い時間アイドル状態が続くと、ユーザーは再認証を求められます。 デフォルト = 15分 このタイムアウト設定を無効にするには、値0を指定します。-2147483648から2147483647の任意の値が許可されます。 注意: 非アクティブ・セッションのセッション・データは、メモリー内キャッシュ(またはデータベース)から自動的に削除されます。 |
|
1ユーザーの最大セッション数 |
各ユーザーが同時に持つことのできるセッションの数。すべてのユーザーに対する複数セッション制限を構成するには、この設定を使用します。 0から2147483647の任意の値が許可されます。 |
|
アクティブ・セッションのデータベース永続性が有効 |
ローカルおよび分散キャッシュに加えて、構成済データベース・セッション・ストアにアクティブ・セッションを永続化します。すべての管理対象サーバーが停止している場合でも、セッションは保持されます。 デフォルト = 有効(選択) 使用する環境でこの必要がない場合、またはデータベースを考慮したサイズでデプロイメントを実行する場合、チェック・ボックスの選択を解除し、すべてのOAMサーバーを再起動してこの機能を無効にします。 |
有効な管理者の資格証明を持つユーザーは、次の手順を使用して、Oracle Access Managerコンソールによる共通セッションのライフサイクル設定を変更できます。
共通セッションのライフサイクル設定を表示または変更する方法
「システム構成」タブから「共通構成」セクションを展開し、「共通設定」をダブルクリックします。
「共通設定」ページで「セッション」セクションを展開します。
必要に応じて、各リストの横にある矢印キーをクリックしてセッションのライフサイクル設定を増減させます(表7-1)。
セッションのライフタイム
アイドル・タイムアウト
1ユーザーの最大セッション数
ボックスを選択してアクティブ・セッションのデータベース永続性を有効化します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
終了したらページを閉じます。
「アクティブ・ユーザー・セッションの管理」へ進んでください。
「セッション管理」ページには、管理者がフィルタ条件に基づいて問合せを作成し、検索基準を後で使用するために保存し、検索をさらに絞り込むために問合せフォームにフィールドを追加できる検索コントロールが用意されています。
データベース・ストア構成で、セッションがデータベースには存在するがキャッシュには存在しない場合があります。セッション検索はシステム・タイムスタンプに基づきます。データベースに対して、タイムスタンプよりも先に更新されたセッションの問合せが行われます(書込み遅延を差し引いて)。キャッシュに対しては、このタイムスタンプよりも後に更新されたセッションの問合せが行われます。キャッシュおよびデータベースで検出された結果のデータがマージされます。重複した結果が存在する場合、キャッシュ・データが優先されます。検索操作に詳細パフォーマンス・メトリックが生成されます。
この項では、1ユーザーまたは全ユーザーの1つまたは複数のセッションを特定し、削除する方法を説明します。ここでは、次の情報が提供されます。
図7-3に、「システム構成」タブの「共通構成」セクションにある「セッション管理」ページを示します。詳細は、図の後に説明します。
表7-2では、フィルタ条件に基づいて問合せを作成できる「セッション管理」ページおよび検索コントロールについて説明します。
表7-2 セッション管理のコントロールと結果表
| 名前 | 説明 |
|---|---|
|
すべてのユーザー・セッションを削除 |
すべてのユーザーのアクティブ・セッションを削除するには、このコマンド・ボタンを選択します。 注意: 操作を確認または拒否できる「確認」ウィンドウが表示されます。 |
|
保存済の検索 |
再使用のために以前保存した検索基準をリストします。検索基準を保存すると次のようなリストが常に使用可能になります。 
パーソナライズを選択すると、次のウィンドウで新しい選択を行うことによって保存済検索基準の動作を変更できます。  |
|
一致、すべて、任意 |
検索中に、指定した条件のいずれかに一致させるか、またはすべてに一致させることができます。 注意: リソースがAnonymousSchemeによって保護されている場合、セッション検索には表示されません。 |
|
ユーザーID |
特定のユーザーIDをフィールドに入力して「検索」ボタンをクリックすると、そのユーザーのすべてのアクティブ・セッションが表示されます。不完全な文字列およびワイルド・カードを使用できます。 検索を支援する次のリストが使用可能です。  |
|
クライアントIPアドレス |
クライアントIPアドレスを入力して「検索」ボタンをクリックすると、そのユーザーのすべてのアクティブ・セッションが表示されます。不完全な文字列およびワイルド・カードを使用できます。ユーザーID検索およびクライアントIPアドレス検索を支援する同じリストが使用可能です。 |
|
検索 |
このボタンをクリックすると、フォームの基準に基づいて検索が開始されます。 |
|
リセット |
このボタンをクリックすると、フォームのすべての基準がクリアされます。 |
|
保存 |
このボタンをクリックすると、検索基準の再使用を有効にする検索操作が開始されます。次のウィンドウが開きます。 
|
|
フィールドの追加 |
検索フォームに別のフィールドを追加できます。支援する次のリストが使用可能です。 
項目を追加した後、検索を支援するリストが使用可能になります。たとえば、雇用および時間ベースの選択には、次のリストが用意されています。  |
|
表示 |
結果表の上にある「表示」メニューからコマンドを選択して、表を構成します。次のコマンドを使用できます。
|
|
削除  |
結果表から選択した項目を削除するには、このコマンド・ボタンを選択します。 注意: セッション検索基準が一般的なものである場合(たとえば、ワイルドカード(*)のみを使用する場合など)、大きなセッション・リストからセッションを削除する際に制限があります。セッション検索基準を十分に細分化することによって比較的小さな結果セット(理想的には20以下)を取得することをお薦めします。 付記: 操作を確認または拒否できる「確認」ウィンドウが表示されます。 |
|
デタッチ  |
結果の表を展開してフルページ表示にするには、このボタンをクリックします。 注意: 表がすでにデタッチされてフルページ表示になっている状態で「デタッチ」をクリックすると、「セッション管理」ページに戻ります。 |
|
結果表(名前なし) |
特定ユーザーのアクティブ・セッションを検索後、表に結果が表示されます。この表には次の詳細が含まれます。
|
有効な管理者の資格証明を持つユーザーは、次の手順に示す情報を利用して、検索結果表の構成、特定ユーザーのアクティブ・セッションの特定、特定ユーザーの1つ以上のセッションの削除、またはすべてのユーザーのすべてのセッションの削除を実行できます。
リソースがAnonymousSchemeによって保護されている場合、セッション検索には表示されません。
必要のないステップはスキップしてください。
前提条件
OAMサーバーが実行中でなければなりません。
アクティブ・セッションの特定と管理
「システム構成」タブの「共通構成」セクションから「セッション管理」ノードを開きます。
「ユーザー名」フィールドと結果表を含む「セッション管理」の「検索」ページが表示されます。
フィールドの追加: 「フィールドの追加」リストから、目的のフィールド名を選択します(表7-2)。
演算子の選択: 選択した検索フィールドの演算子のリストを開き、目的の関数を選択します。
セッションの検索:
目的の問合せフィールドで、基準を入力します(ワイルド・カード(*)の使用は任意)。
「検索」ボタンをクリックして、基準のいずれかまたはすべてに一致するセッションを探します。
結果表を確認します。
必要に応じて繰り返し、検索を絞り込みます。
結果表の構成: 「表示」メニューの機能を使用して、目的の結果表を作成します。
セッションの削除:
結果表で、削除する1つ以上のセッションをクリックします。
「削除」(x)ボタンをクリックして選択したセッションを削除します。
「はい」をクリックして選択したセッションの削除を確定します(または「いいえ」をクリックして削除を取り消します)。
必要に応じてユーザーに通知します。
すべてのユーザーのセッションの削除:
右上隅にある「すべてのユーザー・セッションを削除」ボタンをクリックします。
確認を求めるメッセージが表示されたら「はい」をクリックします。
終了したら「セッション管理」ページを閉じます。
「セッション管理操作の検証」に進みます。
次の手順を使用してセッション管理操作を検証します。
セッション管理の検証方法
ブラウザからリソースにアクセスします。
「アクティブ・ユーザー・セッションの管理」の説明に従い、Oracle Access Managerコンソールでユーザー・セッションが存在することを検証します。
複数セッション:
(Cookieを削除した)別のブラウザから別のリソースへアクセスします。
ステップ2を繰り返して2つのセッションが存在することを確認します。
Oracle Access Managerコンソールですべてのユーザー・セッションを削除し(「アクティブ・ユーザー・セッションの管理」のステップ7)、アクティブ・ユーザー・セッションが削除されていることを確認します。
再認証:
ステップ2のブラウザから、別のリソースへのアクセスを試みます。
資格証明が要求されることを確認します。
データベースにセッション・データが作成されることを確認:
ステップ2のブラウザから、別のリソースへのアクセスを試みます。
資格証明が要求されることを確認します。
データベースにセッション・データが作成されることを確認:
ステップ4を繰返してすべてのユーザー・セッションを削除します。
OAMユーザーとしてデータベースに接続し、下に示す問合せを実行して表示結果を取得します。
SQL> select * from oam_session
次の結果が得られることを確認します。
1 row selected
ステップ2のブラウザから、別のリソースへのアクセスを試みます。
OAMユーザーとしてデータベースに接続し、下に示す問合せを実行します。
SQL> select * from oam_session
次のようなデータが1行表示されることを確認します。
no rows selected
OAM_SESSION_ATTRIBUTESから行を選択して、そのユーザーのデータが存在することを確認します。
セッション管理のロギングの最適化:
次のパスから使用プラットフォームのWLSTを起動します。次に例を示します。
MW_HOME/oracle_common/common/bin/wlst.sh
WLSTに接続してログインします。
domainRuntime()とsetLogLevel(target="oam_server1",logger="oracle.oam.engine.session",level="FINEST",addLogger=1)を実行します。
ファイル<domainhome>/servers/oam_server1/logs/oam_server1-diagnostic.logの内容を追跡確認します。
セッション操作を実行します。
セッション管理エンジンとセッション・ストア・モジュールのログ・メッセージを表示します。
ステップcを繰り返して「SEVERE」レベルに設定し、操作を実行してログ・メッセージを表示します。
この項では、Oracle Access Manager 11gのセッション・セキュリティについて説明します。
Oracle Access Manager 11gは、プロキシによるIPアドレス・チェックを提供することでセッションの固定化防止に役立ちます。セッションの固定化防止をさらに強化するには、セキュアHTTPSプロトコルを使用してください。
メモリー内ではデータは暗号化されませんが、転送時は保護されます。Coherenceは、様々なサーバー上の異なるOAMインスタンス間の通信を行います。この通信のセキュリティは次の2つの方法によって確保されます。
Coherenceが前もってID確認されたホスト間の通信のみをサポートします。
これは一定のIPアドレス範囲として行うか、特定のホスト名によって行います。OAM構成ファイルには、通信に参加するサーバーのエントリが含まれています。起動時にはこの情報がCoherenceに提供され、認可されたサーバーのみが通信に参加するようにします。
Coherenceは、すべての通信に適用されるネットワーク・フィルターをサポートしています。カスタム・フィルタをプラグインすれば、必要な特性を持つフィルタリングを行うことができます。
OAMは、インスタンス間で行われるすべての通信が共通鍵で暗号化/解読されるようにするカスタム・フィルタを備えています。この128ビット鍵はJCEKSで使用でき、インストール時に作成されます。
詳細はOracle Coherenceのドキュメントを参照してください。
このセッション管理エンジンはデータを暗号化しません。
セッション管理エンジンは、セッション・データをデータベースに書き込む際に暗号化を行いません。
懸念がある場合は、Oracle Advanced Securityなどを使用してデータベース内の暗号化を行ってください。
表7-1に説明されているように、「アクティブ・セッションのデータベース永続性が有効」がOracle Access Managerコンソールに表示されます。
