| Oracle® Fusion Middleware Oracle Access Manager統合ガイド 11g リリース1 (11.1.1) B65043-01 |
|
 前 |
 次 |
この章では、Oracle Adaptive Access ManagerをOracle Access Managerと統合して高度なログイン・セキュリティを提供する方法について説明します。この統合には、仮想認証デバイス、デバイスのフィンガープリント、リアルタイム・リスク分析およびリスク・ベースのチャレンジ認証が含まれます。
この章では、次の内容を説明します。
|
注意: Oracle Identity Managerとの統合では、パスワード収集に関連する追加機能が提供されます。第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」を参照してください。 |
Oracle Access ManagerとOracle Adaptive Access Managerの統合には、いくつかのタイプがあります。基本では、比較的少ないサーバー・リソースを使用して機能のサブセットを提供するのに対し、拡張では、追加の管理対象サーバーが必要になるものの機能に制限はありません。
表6-1は、Oracle Access ManagerとOracle Adaptive Access Managerの統合タイプをまとめたものです。
表6-1 Oracle Access ManagerとOracle Adaptive Access Managerの統合のタイプ
| 詳細 | 基本 | 拡張 | TAPを使用した拡張 |
|---|---|---|---|
|
使用可能 |
11.1.1.3.0 |
11.1.1.3.0 |
11.1.1.5.0 |
|
説明 |
基本統合では、Oracle Adaptive Access ManagerサーバーをOracle Access Managerに埋め込みます。異なるフロー(チャレンジ、登録など)のライブラリおよび構成インタフェースを含んでおり、フットプリントを削減します。 注意: OAAMサーバーはOracle Access Managerサーバーに埋め込まれますが、引き続きOAAM管理アプリケーション用の別個の管理対象サーバーが必要です。 |
拡張統合オプションには、OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワークおよび安全なセルフ・サービス・パスワード管理フローが含まれています。 |
TAPを使用した拡張統合オプションは、11g (11.1.1.3)統合のすべての機能を含んでおり、10gと11gエージェントの両方の使用をサポートしています。 |
|
サポートされているエージェント |
10g WebゲートおよびOSSOエージェント |
10g Webゲート |
10gおよび11g Webゲート |
|
認証スキーム |
ネイティブ統合では、OAAMBasic認証スキームをすぐに使用できます。 このスキームの詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
OAAMAdvanced認証スキーム |
tapScheme |
|
参照先 |
第6.2項「Oracle Access ManagerとOracle Adaptive Access Managerの基本統合」 |
第6.3項「Oracle Access ManagerとOracle Adaptive Access Managerの拡張統合」 |
第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」 |
ネイティブ統合であるOracle Access ManagerとOracle Adaptive Access Managerの基本統合では、IDM Middleware WebLogicドメイン内のOAMサーバーとOAAM管理サーバー、および動作するOAAMデータベースが必要です。OAAM管理サーバーは、Oracle Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示、およびOracle Adaptive Access Manager機能の構成に使用されます。ポリシーがインポート、エクスポートまたは構成されると、その変更がOAAMデータベースに保存されます。
Oracle Adaptive Access Managerのライブラリは、Oracle Access Managerサーバーにバンドルされています。Oracle Access Managerは、拡張機能ライブラリを通じてOracle Adaptive Access Managerに統合され、これらを直接使用します。ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能は、これらのライブラリを使用して提供されます。ユーザーが登録フローに入ると、Oracle Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。このデプロイでは、ライブラリを通じてOracle Adaptive Access Managerランタイム機能が使用可能になるため、OAAMサーバーは不要です。この統合で使用できるチャレンジ・メカニズムは、ナレッジベース認証(KBA)のみです。
この項では、基本統合としてOracle Access Manager (OAM) 11gとOracle Adaptive Access Manager (OAAM) 11gを統合する方法について説明します。
次のトピックでは、このタイプの統合を実装する方法について説明します。
Oracle Access Managerサーバーにより、Oracle Access Manager Webゲートによって保護されたページのリクエストが受信されます。
Oracle Access Managerにより、Oracle Adaptive Access Manager APIを呼び出して認証前ルールが実行されます。Oracle Access Managerにより、結果(許可/ブロック/拒否)に基づいて、資格証明を収集するために適切なページが表示されます。Oracle Access Managerにより、Oracle Adaptive Access Managerに制御を移すことなくすべての処理が実行されます。
Oracle Access Managerによりユーザー資格証明が収集されます。
Oracle Access Managerにより、アイデンティティ・ストアに対して資格証明が検証されます。
認証後ルールを実行するため、Oracle Access Managerにより再度Oracle Adaptive Access Manager APIが呼び出されます。Oracle Access Managerにより、結果(ユーザー登録、質問登録、ユーザー登録(オプション)、チャレンジ、許可またはブロック)に基づいて、適切なページのセットがレンダリングされます。
たとえば、ルール・チェックの結果がチャレンジである場合、Oracle Access Managerにより、セキュリティ質問が表示されたチャレンジ質問ページがレンダリングされます。
統合手順を準備するには、次の手順に従います。
Oracle Databaseをインストールします。
データベースでOracle Access ManagerおよびOracle Adaptive Access Managerスキーマを作成してロードします。
データベース・リポジトリでOracle Access ManagerおよびOracle Adaptive Access Managerスキーマを作成するためにリポジトリ作成ユーティリティを実行する方法の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。
WebLogic Serverをインストールします。
Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
Oracle Access ManagerおよびOracle Adaptive Access Managerをインストールします。
Oracle Access ManagerおよびOracle Adaptive Access Managerのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
ソフトウェアにパッチを適用して最新バージョンにします。
Oracle Identity Management 11g構成ウィザードを実行して、新しいまたは既存のWebLogic管理ドメイン内でOracle Adaptive Access Managerを構成します。
Oracle Adaptive Access Managerの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の「Oracle Adaptive Access Managerの構成」を参照してください。
WebLogicドメインの管理サーバーを起動します。
UNIXシステムの場合:
DOMAIN_HOME/bin/startWebLogic.sh
Windowsシステムの場合:
DOMAIN_HOME\bin\startWebLogic.cmd
Oracle Access ManagerとOracle Adaptive Access Managerの統合を実装するには、この項の手順に従います。
configureOAAMのWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーに関連付けます。oam-config.xmlでそのプロパティを有効化する場合は、「configureOAAMのWLSTを使用したデータソースの作成」を参照してください。
oam-config.xmlファイルを見つけて手動で変更します。
oam-config.xmlファイルは、すべてのOAM関連のシステム構成データを含んでおり、DOMAIN_HOME/config/fmwconfigディレクトリにあります。
次の例に示されているように、OAAMEnabledプロパティをtrueに設定します。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> <Setting Name="passwordPage" Type="xsd:string">/pages/oaam/password.jsp</Setting> <Setting Name="challengePage" Type="xsd:string">/pages/oaam/challenge.jsp</Setting> <Setting Name="registerImagePhrasePage" Type="xsd:string">/pages/oaam/registerImagePhrase.jsp</Setting> <Setting Name="registerQuestionsPage" Type="xsd:string">/pages/oaam/registerQuestions.jsp</Setting>
Oracle Access Manager管理コンソールにナビゲートします。
http://oam_admin_server_host:oam_admin_server_port/oamconsole
「IDMDomainAgent」の下の「リソース」を選択します。
保護されたリソースを追加します。
たとえば、リソースの次の情報を指定します。
ホスト識別子: IDMDomain
リソースURL: /<resource>/.../*
「IDMDomainAgent」で新しい認証ポリシーを作成し、認証スキームをOAAMBasicに設定します。
この手順では、保護されたリソースをOAAMBasic認証スキームに関連付けています。
Oracle Adaptive Access Manager管理コンソールにログインするための正しい権限があるユーザーを作成し、必要なグループをそのユーザーに付与します。
詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMユーザーの作成に関する項を参照してください。
OAAM管理サーバーのoaam_admin_server1を起動し、新しく作成した管理対象サーバーをドメインに登録します。
UNIXシステムの場合は、DOMAIN_HOME/binディレクトリにあるstartManagedWebLogic.shコマンドを使用してOAAM管理サーバーを起動します。
startManagedWebLogic.sh oaam_admin_server1
Windowsシステムの場合は、DOMAIN_HOME\binディレクトリにあるstartManagedWebLogic.cmdコマンドを使用してOAAM管理サーバーを起動します。
startManagedWeblogic.cmd oaam_admin_server1
Oracle Adaptive Access Manager管理者としてOAAM管理コンソールにログインします。
http://oaam_managed_server_host:14200/oaam_admin
Oracle Adaptive Access Manager管理コンソールを使用して、Oracle Adaptive Access Managerスナップショットをシステムにインポートします。スナップショットには、Oracle Adaptive Access Managerによって必要とされるポリシー、チャレンジ質問、依存コンポーネントおよび構成が含まれています。
スナップショットのインポートの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMスナップショットのインポートに関する項を参照してください。
OAAM管理サーバーのoaam_admin_server1をシャットダウンします。
UNIXシステムの場合は、DOMAIN_HOME/binディレクトリにあるstopManagedWebLogic.shコマンドを使用してOAAM管理サーバーを停止します。
stopManagedWebLogic.sh oaam_admin_server1
Windowsシステムの場合は、DOMAIN_HOME\binディレクトリにあるstopManagedWebLogic.cmdコマンドを使用してOAAM管理サーバーを停止します。
stopManagedWeblogic.cmd oaam_admin_server1
Oracle WebLogic管理コンソールにアクセスします。
http://weblogic_admin_server:7001/console
Oracle Adaptive Access ManagerがOracle Access Managerと同じWebLogicドメイン内に構成されていない場合は、Oracle Access Managerに対して次の手順を実行します。
次のJNDI名のデータソースを作成します。
jdbc/OAAM_SERVER_DB_DS
|
注意: データソースの名前には任意の有効な文字列を使用できますが、JNDI名は前述のものと同じである必要があります。 |
Oracle Adaptive Access Manager構成の一環として作成したスキーマに対して、Oracle Adaptive Access Managerデータベースの接続詳細を指定します。
「サービス」→「データベース・リソース」をクリックし、「OAAM_SERVER_DB_DS」リソースを見つけます。
WebLogic管理コンソールの左上隅にある「ロック」ボタンをクリックして、環境をロックします。
OAAM_SERVER_DB_DSリソースを開き、「ターゲット」タブをクリックします。そこに使用可能なWebLogicサーバーのリストが表示されます。
「管理サーバー」および「oam_server1」をターゲットとしてデータソースに関連付けます。
Oracle WebLogic管理コンソールの左上隅にある「アクティブ化」ボタンをクリックします。
OAMサーバーのoam_server1を起動します。
UNIXシステムの場合は、DOMAIN_HOME/binにあるstartManagedWebLogic.shを使用してOAMサーバーを起動します。
startManagedWebLogic.sh oam_server1
Windowsシステムの場合は、DOMAIN_HOME\binにあるstartManagedWebLogic.cmdを使用してOAMサーバーを起動します。
startManagedWeblogic.cmd oaam_server1
保護されたリソースにアクセスして、構成を検証します。
これで、Oracle Adaptive Access Managerの構成は完了です。構成をテストするには、次の場所に移動します。
http://admin_server:7001/resource
ユーザー名を入力するプロンプトが表示されます。さらに、別の画面でパスワードのプロンプトが表示されます。ユーザー名およびパスワードが検証されたら、チャレンジ質問に回答するように求められます。完了後に、保護されたアプリケーションが表示されます。
さらにテストするため、それぞれがリソースを保護する、2つのエージェントをリモートで登録します。
管理コンソールを使用して、最初のリソースを認証フローのOAAMBasicポリシーに関連付けます。2つ目のリソースをLDAPSchemeに関連付けます。
|
関連項目: 『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』の認証スキームの管理に関する項 |
Oracle Adaptive Access ManagerをOracle Access Managerと統合すると、企業は、アプリケーションの保護のレベルを大幅に向上させる高度なアクセス・セキュリティ機能を使用できるようになります。フィッシング対策、マルウェア対策、デバイス・フィンガープリント、動作プロファイリング、地理的位置マッピング、リアルタイム・リスク分析、複数のリスク・ベースのチャレンジ・メカニズム(ワンタイム・パスワードおよびナレッジベース認証質問など)の各機能により、アクセス・セキュリティのレベルを向上させることができます。
Oracle Access Managerログインの厳密認証フローをサポートする機能は、表6-2にまとめられています。
表6-2 OAMログインの厳密認証をサポートするOracle Adaptive Access Manager機能
Oracle Access ManagerおよびOracle Adaptive Access Manager間の相互作用のフローは、次のとおりです。
ユーザーは、Oracle Access Managerによって保護されたリソースにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉され、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされます。
Oracle Adaptive Access Managerサーバーにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイスのフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
デバイスのフィンガープリント処理が実行されます。
デバイスのフィンガープリント処理が実行されます。デバイスのフィンガープリント処理は、ユーザー・ログインに使用されたデバイスおよびそのタイプ(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスク、他のWeb対応デバイスのいずれであるか)を認識するメカニズムです。
ユーザーが次に進むことを許可された場合は、認証パッド・チェックポイント中に仮想認証デバイス・ルールが実行されます。これらのルールにより、どの仮想オーセンティケータをOracle Adaptive Access Managerパスワード・ページに表示するかが決定されます。
ユーザーがOracle Adaptive Access Managerに登録されている場合は、Oracle Adaptive Access Managerサーバーにより、パーソナライズされたTextPadまたはKeyPadとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーが登録されていない場合は、Oracle Adaptive Access Managerにより、汎用TextPadとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
Oracle Access Manager NAP (ネットワーク・アサーション・プロトコル) APIを使用して、Oracle Adaptive Access Managerから収集された資格証明がアイデンティティ・ストアに対して検証されます。Oracle Access Manager側での検証の後、Oracle Adaptive Access Managerにより認証後ルールが実行されます。
Oracle Adaptive Access Managerにより、ユーザーとの相互作用を通じて、目的のアクションを実行するためにアイデンティティが確立されます。Oracle Adaptive Access Managerにより、ユーザーのリスク・スコアが決定され、ポリシーに指定されている任意のアクション(たとえば、KBAやOTP)またはアラートが実行されます。
ユーザーが登録されていない場合は、必要に応じてKBAやOTPなどの登録を行うように求められます。
登録が必須であるかオプションであるかが指定されたセキュリティ要件に基づいて、登録が要求されます。
認証が成功し、ユーザーに登録済の適切なプロファイルがある場合は、Oracle Adaptive Access Managerにより、Oracle Access ManagerのCookieが設定され、ユーザーがリダイレクトURLにリダイレクトされます。
Oracle Access ManagerとOracle Adaptive Access Managerとの間の拡張統合シナリオには、Oracle Identity Managerがあるものとないものがあります。
Oracle Identity Managerあり
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。
統合の詳細は、第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」を参照してください。
Oracle Identity Managerなし
環境にOracle Identity Managerが含まれていない場合は、この章で説明されている統合手順に従います。
|
注意: このシナリオでログアウトを開始するには、次のリンクにアクセスします。http://host:oaam_server_port/oaam_server/oamLogout.jsp |
統合手順を準備するには、必要なコンポーネントが適切にインストールされて構成されていることを確認します。
Oracle Databaseをインストールします。
データベースでOracle Access ManagerおよびOracle Adaptive Access Managerスキーマを作成してロードします。
データベース・リポジトリでOracle Access ManagerおよびOracle Adaptive Access Managerスキーマを作成するためにリポジトリ作成ユーティリティを実行する方法の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。
Oracle WebLogic Serverをインストールします。
Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
Oracle SOA Suiteをインストールし、ソフトウェアにパッチを適用して最新バージョンにします。
Oracle SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
Oracle Internet DirectoryおよびOracle Virtual Directory 11gをインストールして構成します。
詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
Oracle HTTP Serverをインストールします。
Oracle HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。
Oracle Access ManagerおよびOracle Adaptive Access Managerをインストールします。
インストール時に、Oracle Access Managerはデータベース・ポリシー・ストアとともに構成されます。Oracle Access ManagerとOracle Adaptive Access Managerの接続には、データベース・ポリシー・ストアが必要です。
Oracle HTTP Server 11gインスタンスに、Oracle Access Manager 10gエージェント(Webゲート)をインストールします。
Oracle HTTP Server Webゲートのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
次の手順は、すぐに使用できる統合によりOracle Access ManagerとOracle Identity Managerが統合されていることを前提としています。
|
注意: Oracle Access ManagerとOracle Adaptive Access Managerの統合では、IdentityManagerAccessGate 10g Webゲート・プロファイルが存在する必要があります。これは、Oracle Access Managerコンソールで「システム構成」→「エージェント」→「10gWebGates」にナビゲートすることによって検証できます。 |
大まかな統合タスクは次のとおりです。
|
注意: この手順を実行する前に、Oracle Adaptive Access Managerコンソールを保護するかどうかを考慮に入れる必要があります。
|
Oracle Access Manager用のOracle Adaptive Access Managerプロパティを設定するには、次の手順に従います。
Oracle Adaptive Access Managerサーバーをホストしている管理対象サーバーを起動します。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_adminにあるOracle Adaptive Access Manager管理コンソールに移動します。
Oracle Adaptive Access Managerの環境プロパティにアクセス可能なユーザーとしてログインします。
Oracle Access Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。
プロパティが存在しない場合は、追加する必要があります。
次のプロパティについて、デプロイ内容に従って値を設定します。
表6-3 Oracle Access Managerのプロパティ値の構成
| プロパティ名 | プロパティ値 |
|---|---|
|
bharosa.uio.default.password.auth.provider.classname |
com.bharosa.vcrypt.services.OAMOAAMAuthProvider |
|
bharosa.uio.default.is_oam_integrated |
true |
|
oaam.uio.oam.host |
アクセス・サーバー・ホスト・マシン名 例: host.oracle.com |
|
oaam.uio.oam.port |
アクセス・サーバー・ポート(例: 3004) |
|
oaam.uio.oam.obsso_cookie_domain |
アクセス・サーバーWebゲート・エージェントに定義されているCookieドメイン |
|
oaam.uio.oam.java_agent.enabled脚注1 |
デフォルト値は このプロパティを設定する場合は、プロパティ
|
|
oaam.uio.oam.virtual_host_name脚注1 |
OAM Javaエージェント(WLSAgentとも呼ばれます)を使用する場合、デフォルト値は 仮想ホスト名が |
|
oaam.uio.oam.webgate_id |
IdentityManagerAccessGate Oracle Identity Manager統合用のWebゲート・エージェントの名前。デフォルトはIdentityManagerAccessGateです。 |
|
oaam.uio.login.page |
/oamLoginPage.jsp |
|
oaam.uio.oam.secondary.host |
セカンダリ・アクセス・サーバー・ホスト・マシンの名前。 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
|
oaam.uio.oam.secondary.host.port |
セカンダリ・アクセス・サーバーのポート番号 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
|
oaam.oam.csf.credentials.enabled |
true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
脚注1 OAM Javaエージェントを使用する場合に必要です。
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
IDMドメイン・エージェントの詳細は、第1.2項「IDMDomainエージェントおよびWebゲートに関する注意」を参照してください。
Oracle Access Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。
Oracle Fusion Middleware Enterprise Managerコンソールに移動します。
http://weblogic_admin_server_host:admin_server_port/em
WebLogic管理者としてログインします。
左側ペインのナビゲーション・ツリーで「Base_Domain」アイコンを展開します。
使用するドメイン名を選択して右クリックし、「セキュリティ」→「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択し、「キーの作成」をクリックします。
ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
| 名前 | 値 |
|---|---|
| マップ名 | oaam |
| キー名 | oam.credentials |
| キー・タイプ | パスワード |
| ユーザー名 | 管理者権限を持つOracle Access Managerユーザー |
| パスワード | Oracle Access Manager Webゲート・エージェントのパスワード |
Oracle Access Manager管理コンソールを使用して、保護されたWebアプリケーションのOracle Access ManagerポリシーをOAAMAdvanced認証スキームに割り当てます。
手順は次のとおりです。
Oracle Access Manager管理コンソールに移動します。
http://hostname:port/oamconsole
詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』のOracle Access Manager 11g管理コンソールへのログインに関する項を参照してください。
Oracle Access Manager管理者としてログインします。
「ポリシー構成」タブから、次のようにツリーをナビゲートします。
「アプリケーション・ドメイン」ノードを展開します。
「IDMDomainAgent」を展開します。
「認証ポリシー」を展開します。
Protected HigherLevel Policyという認証ポリシーを編集用に選択し、それにOAAMAdvanced認証スキームを割り当てます。
別のブラウザ・セッションで次の場所にナビゲートすることによって、Oracle Adaptive Access ManagerのチャレンジURLをテストします。
http://oaam_server_managed_server:oaam_server_managed_server_port/oaam_server/oamLoginPage.jsp
Oracle Adaptive Access Managerサーバーのユーザー・ログイン・ページがエラーなしで表示されることを確認します。
まだOAAMサーバーへのログインを試行しないでください。
管理資格証明を使用して、Oracle Access Manager管理コンソールにログインします。
次の変更を加えることによって、チャレンジURLの正しい値が使用されるようにOAAMAdvanced認証スキームを変更します。
challenge_urlを追加します。
Oracle Adaptive Access ManagerのURLが正しく、手順5でテストしたURLと同じであることを確認します。
http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/oamLoginPage.jsp
(注意: URLリダイレクトが失敗するため、プロトコル文字列http(s)を使用しないでください。明示的なプロトコルであるhttpまたはhttpsのいずれかを使用します。)
contextTypeをexternalに設定します。
Oracle Access Manager管理対象サーバーを再起動します。
これでOracle Access ManagerをOracle Adaptive Access Managerと統合する手順は完了です。
この項では、Oracle Access ManagerとOracle Adaptive Access Managerの統合に関するトラブルシューティングおよび追加構成のトピックについて説明します。
configureOAAMのWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバー、およびoam-config.xmlファイルのOAAMEnabledプロパティに関連付けることができます。構文は次のとおりです。
configureOAAM(dataSourceName,paramNameValueList)
説明:
dataSourceNameは、作成するデータソースの名前です。
paramNameValueListは、パラメータ名と値のペアからなるカンマ区切りリストです。名前と値の各ペアの形式は次のとおりです。
paramName='paramValue'
必須のパラメータは次のとおりです。
hostName - データベース・ホストの名前
port - データベース・ポート
sid - データベース識別子(データベースSID)
userName - OAAMスキーマ名
passWord - OAAMスキーマ・パスワード
オプションのパラメータは次のとおりです。
maxConnectionSize - 最大接続予約タイムアウト・サイズ
maxPoolSize - 接続プールの最大サイズ
次に例を示します。
configureOAAM(dataSourceName = "MyOAAMDS", hostName = "host.us.co.com", port = "1521", sid = "sid", userName = "username", passWord = "password", maxConnectionSize = None, maxPoolSize = None, serverName = "oam_server1")
|
注意: SID =ではサービス名が必要です。 |
Oracle Access Manager側での認証が成功した後、認証後ルールを処理するために制御がOracle Adaptive Access Managerに渡されます。デフォルトでは、ログインするユーザーが、その登録済ユーザーのものとは異なる大/小文字の組合せでユーザー名を入力した場合、Oracle Adaptive Access Managerサーバーによりそのユーザーは未登録であると見なされます。たとえば、userxyがユーザー名userXYを入力してログインしようとした場合がこれに該当します。
両方のサーバーでログインが成功するように設定するには、ユーザー名の大/小文字を区別しないようにOracle Adaptive Access Managerサーバーを構成する必要があります。このためには、次のプロパティを設定します。
bharosa.uio.default.username.case.sensitive=false
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
ネイティブ認証フローでASCII以外のユーザー名またはパスワードを使用すると、次のエラー・メッセージが表示される場合があります。
Sorry, the identification you entered was not recognized. Please try again.
この問題を解決するには、次の手順を実行します。
PRE_CLASSPATH変数を${ORACLE_HOME}/common/lib/nap-api.jarに設定します。
Cシェルの場合:
setenv ORACLE_HOME "IAMSUITE INSTALL DIR"
setenv PRE_CLASSPATH "${ORACLE_HOME}/common/lib/nap-api.jar"
bash/kshシェルの場合:
export ORACLE_HOME=IAMSUITE INSTALL DIR
export PRE_CLASSPATH="${ORACLE_HOME}/common/lib/nap-api.jar"
OAAM_SERVERに関連する管理対象サーバーを起動します。
環境を設定する場合は、必要に応じて、最初にLDAP認証スキームを使用してOracle Access Managerのみでページの保護をテストし、正常にページにアクセスできるかどうかを確認できます。ページにアクセスできない場合は、構成に進む前にこの問題を解決します。
OAAMBasic統合が有効化された環境では、oam-config.xmlの下にある次のエントリOAAMEnabledがtrueに設定されます。
<Setting Name="OAAM" Type="htf:map">
<Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting>
</Setting>
...
OAAMBasicフローでエラーが発生した場合は、このフラグの値を確認します。特定の環境(Windows)またはシナリオ(新しいOracle Internet Directoryを作成してOAAMBasicスキームに関連付ける場合)では、元のフローが破損し、OAAMEnabledフラグがfalseにリセットされたためにOAAMBasicが機能しなくなることがあります。
回避策: フラグの値を手動で「true」に変更します。
OAMとOAAMの基本統合モードでは、保護されたリソースにアクセスしたときにOAAMページに転送されます。Internet Explorer v7の場合、ユーザー名を入力して「送信」をクリックしたときに、パスワード・ページに自動的にリダイレクトされずに、次のページ(/oam/pages/oaam/handleLogin.jsp)から進まなくなることがあります。
回避策: 「続行」リンクをクリックすると、/oam/pages/oaam/handleJump.jsp?clientOffset=-7が表示されます。
次の手順では、OAAMチャレンジSMSポリシーをOAAMチャレンジ・ポリシーに置き換えて、OTPへのチャレンジ・フロー・リクエストを回避するために必要な方法について説明します。
Oracle Access Managerへの登録中に、チャレンジ質問を登録すると、モバイル番号を入力するための連絡先ページに転送されます。この統合モードでは、OTPがサポートされていないため、このページは重要ではありません。次の形式でモバイル番号を入力して「送信」をクリックすることによって、登録を完了します。
:09900502139
ポリシーを変更する手順は、次のとおりです。
「OAAMチャレンジ・ポリシー」を検索します。
「アクション・グループ」で、見つかったすべての「OAAMチャレンジSMS」を「OAAMチャレンジ」に置き換えます。
ポリシーを保存します。
OAM 11.1.1.4.0とOAAM 11.1.1.5.0の統合では、次の操作を実行しないかぎり、OAAMAdvanced認証スキームで保護されたリソースにアクセスできません。
OAAMのWebゲート・パスワードを設定します。
oaam.uio.oam.authenticate.withoutsessionをfalseに設定します。デフォルトでは、これはtrueに設定されており、OAM 11.1.1.4.0でサポートされていないauthnwithoutsession opcodeが使用されています。
登録済ユーザーがLDAPから削除されても、登録済ステータス・レコードはOAAMデータベース内に残ります。そのユーザーが再度LDAPに追加された場合、OAAMデータベースとLDAPが同期されていないため、古い画像、フレーズおよびチャレンジ質問が使用されます。
