Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この項では、Oracle Access Manager 11gリリース1(11.1.1)パッチ・セット1の新機能について説明します。
パッチ・セット1では、次のトピックで説明する、新機能および拡張機能を提供します。
「システム構成」タブは、3つの新しいセクションに分割されました。
共通構成
Access Managerの設定
セキュリティ・トークン・サービスの設定
認証は、1つ以上のプラグインに基づく特定の認証スキームによって制御されており、ユーザーがリソースへのアクセス試行時に入力した資格証明をテストします。プラグインはOAMサーバーのインストールで提供される標準セットから入手するか、独自のJava Developerでカスタム・プラグインを作成できます。
関連項目:
|
ポリシー・モデルは、アクセス・ポリシー内の問合せ文字列ベースのHTTPリソース定義をサポートします。
Oracle Access Managerでは、特定のリソースをパブリック(OAMエージェントによって保護されない)で維持するためのサポートを提供しています。
ユーザー・セッションのライフサイクル設定は、すべてのOAMサーバーが共有する共通設定の一部です。これらは「共通設定」ページに移動しました。
認証されたクライアントはセッション操作を管理できます。
アクティブ・セッションのデータベース永続性: ローカルおよび分散キャッシュに加えて、構成済データベース・セッション・ストアにアクティブ・セッションを永続化できます。すべての管理対象サーバーが停止している場合でも、セッションは保持されます。
Oracle Access Managerでは、拡張されたセッション検索コントロールを提供しており、これによってフィルタ条件に基づいた問合せを作成できます。
複数のユーザー・アイデンティティ・ストアがサポートされています。
システム・ストアとして指定されたユーザー・アイデンティティ・ストアのみが、Oracle Access Managerコンソール、リモート登録、およびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。
OAMに保護されたリソースにアクセスしようとするユーザーは、デフォルトのユーザー・アイデンティティ・ストアとしてマークされたストアのみでなく、任意のストアに対して認証できます。
Oracle Security Token Serviceは、デフォルトのユーザー・アイデンティティ・ストアのみを使用します。トークン発行ポリシーにユーザーの制約を追加するとき、たとえば、ユーザーを選択するアイデンティティ・ストアはデフォルトのユーザー・アイデンティティ・ストアである必要があります。
このリリースでは、クライアント証明書およびルート証明書を持つストアで必要となる、CERTモード接続がサポートされています。両方のストアをIMPORTCERTツールを使用して生成できます。また、OAMテスターはマルチスレッド・モードで同時テストを実行することも可能で、ポリシー・サーバーのストレス・テストの実施に使用できます。テストはコマンドライン・モードでのみ実行され、入力構成ファイルによってスレッド数および実行する必要がある各スレッドの反復数が指定されます。各スレッドは、ポリシー・サーバーへの専用接続をオープンし、指定した入力スクリプトを指定した反復数で実行します。
Oracle Security Token ServiceはOracle Access Managerでデプロイすると、サービスとしてアクティブ化できます。
Oracle Security Token Serviceは、現在のセキュリティ・インフラストラクチャに基盤を提供し、トークンの取得、更新、取消しに使用する、一貫性があり、効率化されたモデルを容易にします。これはプロトコルおよびセキュリティ・インフラストラクチャに依存しません。
Oracle Security Token Serviceは、Web Service (WS) Trustベースのトークン・サービスで、Webサービス間におけるポリシー主導の信頼の仲介ならびに安全なアイデンティティ伝播およびトークン交換を可能にします。Oracle Security Token Serviceは、企業およびそのサービス・プロバイダの内部において、分散WebサービスまたはフェデレーテッドWebサービスの統合を単純化するために必要なセキュリティおよびアイデンティティ・サービスとしてデプロイできます。
Oracle Access Manager 11g Access SDKは、プラットフォーム独立パッケージで、オラクル社によって様々なエンタープライズ・プラットフォーム(32ビット・モードおよび64ビット・モードの両方を使用)とハードウェアの組合せが認定されています。JDKバージョンで提供されており、Oracle Fusion Middlewareアプリケーション間でサポートされています。
Oracle Access Manager 11gでは、認証プラグイン・インタフェースおよびSDKツールが提供されており、これによりカスタマイズされた認証モジュール(プラグイン)を構築して個々の要件を備えた即時利用可能な機能に橋渡しします。
Oracle Security Token Serviceに設定せずに検証や発行に使用できるトークンが含まれていない場合には、独自の検証および発行モジュール・クラスを記述できます。
関連項目:
|
リモート登録ツールでは、管理者およびアプリケーションのデプロイ担当者がOracle Access Managerによる保護のためのアプリケーションをリモートで登録できます。リモート登録ツールoamregへの拡張機能は、Webgate登録への拡張機能に反映されています。特定の変更がリモート登録の実行で使用するテンプレートに対して加えられました。エージェントをリモートで管理する新しいモードが使用可能です。パスワードを取得する新しいオプションを使用できます。
関連項目:
|
Webgateは、認可でチェックされず、パススルーのみが許可されていることが必要な例外リストからリソースをキャッシュします。
特定のユーザー定義パラメータをWebgate登録ページに実装できます。
セッション管理の操作を呼び出せるのは、権限のあるエージェントのみです。エージェント権限機能で、エージェントごとのセッション操作のプロビジョニングを有効にできます。
Webgateと認証時のクライアントIPアドレスを持たないアクセス・クライアントの間のシングル・サインオンを構成できます。
ブラウザのキャッシュを制御する設定についてのみ、Webgateを構成できます。
エージェントの検索中に、正確な名前がわからない場合には、検索文字列にワイルドカード(*)を使用できます。
全体の概要は第2章「本書の概要」、製品およびコンポーネントの名前の変更は次のトピックを参照してください。
元の製品名Oblix NetPointはOracle Access Managerに変更され、7.xリリースはOracle Application Server 10gリリース2 (10.1.2)の一部としてオラクル社から入手可能でした。次の表に示すとおり、Oracle Access Manager 10.1.4でもいくつかの製品およびコンポーネントの名前が変更されましたが、Oracle Access Manager 11gではより多くの変更があります。