この章では、Oracle Access ManagerをOracle Identity ManagerおよびOracle Adaptive Access Managerに統合し、高度に安全なセルフ・サービス・パスワード管理フローを提供する方法について説明します。
この章では、次の内容を説明します。
Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerのインストール
Oracle Access ManagerおよびOracle Adaptive Access Managerの事後構成の実行
11gリリース1 (11.1.1)では、Oracle Access Managerによりそれ自体のアイデンティティ・サービスは提供されません。かわりに、Oracle Access Managerにより次のものが提供されます。
Oracle Identity Manager、LDAPディレクトリおよび他のソースによって提供されるアイデンティティ・サービスを使用します。
Oracle Identity ManagerおよびOracle Adaptive Access Managerと統合し、Oracle Access Managerによって保護されたアプリケーションに各種の安全なパスワード収集およびチャレンジ関連の機能を提供します。
ロスト・パスワード管理はOracle Access Managerログイン・ページから開始されますが、OAAMチャレンジ質問を使用し、OIMを通じてユーザー・リポジトリに同期されます。
他の組合せも可能ですが、次の機能を利用できるため、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合をお薦めします。
パーソナライズされた仮想認証デバイスを通じたパスワード入力およびマルウェア保護
ログイン時のリスク・ベースの認証やパスワード・リセットなどのすべてのフローで使用される、セカンダリ・ログイン認証のナレッジベース認証(KBA)
パスワード保護とKBAおよびOTPチャレンジ機能をサポートするための登録フロー
パスワード保護とKBAおよびOTPチャレンジ機能をサポートするためのユーザー・プリファレンス・フロー
パスワード管理フロー
Oracle Adaptive Access Manager
Oracle Adaptive Access Managerは次の役割をします。
認証の前後におけるリアルタイム・リスク分析ルールの実行
ログイン、チャレンジ、登録およびセルフ・サービス・フローを通じたユーザーのナビゲート
Oracle Identity Manager
Oracle Identity Managerは次の役割をします。
ユーザーのプロビジョニング(ユーザーを追加、変更または削除するため)
パスワードの管理(パスワードをリセットまたは変更するため)
Oracle Access Manager
Oracle Access Managerは次の役割をします。
ユーザーの認証と認可
パスワードのリセット、パスワードの期限切れ、ユーザーのロックなどの詳細なステータス・フラグの提供
このデプロイのプロセス・フローは次のとおりです。
リソース保護および資格証明収集フロー
OAM Webゲート・サーバーは、URLを保護し、未認証のユーザーを認証できるようにリダイレクトします。
OAAMにより、認証用のユーザー名とパスワードが収集されます。
したがって、OAM Webゲートにより、保護されたURLに未認証のユーザーがアクセスしようとしていることが検出されると、ユーザーがOAAMサーバー・ログイン・ページにリダイレクトされます。
資格証明は、ユーザー名ページとパスワード・ページの、2つの異なるページに分割されます。OAAMにより、ユーザーがユーザー名を入力することが許可されます。登録済ユーザーである場合は、登録ステータスに基づいて、OAAMにより、パーソナライズされた画像およびキャプションとともにパスワード・ページが表示されます。
OAAMサーバーにより、認証前ルールが実行され、ユーザーがパスワードの入力を許可されます。
OAAMサーバーにあるユーザーのユーザー名および入力されたパスワードに基づき、OAAMサーバーにより、OAMサーバーに対して認証のためのNAP APIコールが行われます。
ユーザーがユーザー名およびパスワードを正しく入力したかどうかを示すステータスがOAMサーバーから返されると、OAAMサーバーにより、認証に成功したかどうかが判別されます。
認証に成功した場合は、OAAMサーバーによりユーザーがOAM Webゲートにリダイレクトされます。
OAM Webゲート・サーバーにより、ユーザーが元のURLにリダイレクトされます。
OAM Webゲートにより、ユーザーが、保護されたURLへのアクセスを許可されます。
パスワード・リセット・フロー
ユーザーがパスワードを変更しようとすると表示されるパスワード・ポリシー・テキストを取得するためにOAAMサーバーからOIMサーバーを呼び出す必要がある場合に、OAAMサーバーにより、OIMサーバーとの通信が行われます。
ポリシーに基づいて、OAAMサーバーにより、ユーザーはポリシー・テキスト要件に適合したパスワードを入力できるようになります。
OAAMサーバーは、フローを管理しているため、ユーザーが新しいパスワードおよび古いパスワードを入力できるページをユーザーに対して表示します。
このテキストはOAMサーバーによって維持されますが、ユーザーがパスワードを変更しようとしたときに表示されるようにそのパスワード・ポリシー・テキストを呼び出して取得するのはOAAMサーバーです。
このタスクの完了後に、OAAMサーバーにより、変更をOAMサーバーに伝播するためのAPIコールが行われます。
OAMサーバーでは、これらの変更をユーザー・ディレクトリまたは資格証明の管理場所に永続化できます。
OAMサーバーおよびOIMサーバーでは、すべてのユーザー・データが維持された同じユーザー・ディレクトリと通信します。
すべての必要なコンポーネントが適切にインストールされ、構成されている必要があります。
Oracle Internet Directory 11gがインストールされている
Oracle Internet Directoryのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
Oracle Virtual Directory 11gがインストールされている
Oracle Virtual Directoryのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
Repository Creation Utility 11gがインストールされている
RCUのインストールおよび使用の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
Oracle Access Manager、Oracle Adaptive Access Manager、Oracle Identity ManagerおよびOracle HTTP Server用のOracle WebLogic Serverがインストールされている
WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
Oracle SOA Suiteがインストールされ、少なくともPS2までパッチが適用されている
Oracle SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
Oracle HTTP Serverがインストールされている
Oracle HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。
Oracle HTTP Server 11gインスタンスに、Oracle HTTP Server 11g用のOracle Access Manager 10gまたは11gエージェント(Webゲート)がインストールされている必要があります。
Oracle HTTP Server Webゲートのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
次の手順は、すぐに使用できる統合によりOracle Access ManagerとOracle Identity Managerが統合されていることを前提としています。
Oracle Access ManagerおよびOracle Adaptive Access Managerを同じまたは異なるWebLogicドメインにして、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを異なるWebLogicサーバーにインストールします。
注意: この章では、OAM_HOME はOAM_WL_HOME/Oracle_IDM1 、OAAM_HOME はOAAM_WL_HOME/Oracle_IDM1 です。 |
Oracle Access ManagerとOracle Adaptive Access Managerの両方について、次のことを確認します。
データベースがインストールされている
RCUをインストールして実行し、Oracle Access ManagerおよびOracle Adaptive Access Managerのデータベース・スキーマが作成されている
Oracle Access Managerの設定と構成について、次のことを確認します。
Oracle WebLogic ServerがOAM_WL_HOME
にインストールされている
Oracle Access Managerがインストールされている
Oracle Access Managerが構成されている
Oracle Adaptive Access Managerの設定と構成について、次のことを確認します。
Oracle WebLogic ServerがOAAM_WL_HOME
にインストールされている
Oracle Adaptive Access Managerがインストールされている
Oracle Adaptive Access Managerが構成されている
注意: 必要に応じて、Oracle Access ManagerおよびOracle Adaptive Access Managerを異なるドメインまたは同じWebLogicドメインにインストールできます。複数のドメインに対するインストールでは、oaam.csf.useMBeansプロパティをtrueに設定する必要があります。このパラメータの設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Managerコマンドライン・インタフェース・スクリプトに関する項を参照してください。 次の統合手順では、参照用に、Oracle Access Managerが含まれているWLSドメインを |
Identity Management Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
この項では、Oracle Adaptive Access Managerの事後構成を実行し、Oracle Access ManagerおよびOracle Adaptive Access Managerが動作することを確認する手順について説明します。
この項でタスクを実行する前に、Oracle Access ManagerおよびOracle Adaptive Access Managerの管理コンソールと、管理対象サーバーが実行されていることを確認します。
Oracle Adaptive Access Managerが動作するために必要な最小限の手順を実行するため、Oracle Adaptive Access Managerユーザーを作成し、OAAMポリシー、依存コンポーネントおよび構成が含まれたOAAMスナップショットをインポートします。
完全な事後構成手順の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。
OAAM管理コンソールを保護する場合は、外部LDAPストアでユーザーおよびグループの作成を処理する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Adaptive Access Manager用のユーザーとグループの作成に関する項を参照してください。
OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールで管理ユーザーを作成する必要があります。WebLogic管理コンソールで管理ユーザーを作成する手順は、次のとおりです。
注意: 保護を提供するIDMドメイン・エージェントを無効化することによって、OAAM管理コンソールの保護を無効化できます。そのためには、環境変数またはJavaプロパティWLSAGENT_DISABLED= trueを設定する必要があります。
IDMドメイン・エージェントの無効化の詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』のIDMドメイン・エージェントの無効化に関する項を参照してください。 |
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左側の「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm
)。
レルム名・ページで、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード/確認
新規作成したユーザーのuser1
をクリックします。
「グループ」タブをクリックします。
OAAM
接頭辞のあるグループをすべて、ユーザーuser1
に割り当てます。
「保存」をクリックします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、次の手順に従ってスナップショットをシステムにインポートします。
次のURLにあるOAAM管理コンソールにログインします。
http://
oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
次の手順に従ってスナップショット・ファイルをシステムにロードします。
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
ダイアログが開き、現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージが表示されます。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。
oaam_base_snapshot.zip
を参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
デフォルトのoaam_base_snapshot.zip
は、Oracle_IDM1/oaam/initディレクトリにあります。
「OK」→「リストア」をクリックします。
インストールおよびインストール後の構成が完了したら、次の各項の手順に従ってOracle Access ManagerおよびOracle Adaptive Access Managerが正しく設定されていることを確認します。
次の手順を実行して、Oracle Access Managerが正しく構成されていることを確認します。
http://
oam_admin_server_host:oam_admin_server_port/oamconsole
に移動します。
ログインのため、Oracle Access Managerサーバーにリダイレクトされます。
管理者ユーザーの名前とパスワードを指定します。
Oracle Access Manager管理コンソールに正常にログインできることを確認します。
この項では、11g Webゲートを登録する方法について説明します。Webゲートは、すぐに使用できるアクセス・クライアントです。このWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOracle Access Manager 11gサーバーに転送します。
Oracle Webゲートを構成して登録する前に、次のものがインストールされていることを確認します。
Oracle HTTP Server用のWebLogic Server (WLS_FOR_OHS
)
Oracle HTTP Server (WLS_FOR_OHS/Oracle_WT1
、これをOHS_HOME
と呼びます)
Webゲート(WLS_FOR_OHS/Oracle_OAMWebGate1
、これをWG_HOME
と呼びます)
Oracle Access Manager用のOracle HTTP Server 11g Webゲートをインストールしたら、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のインストール後の手順に関する項を参照してください。
保護するアプリケーションをホスティングするコンピュータに存在するOracle Access Managerエージェントを登録する必要があります。
『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』のコンソールを使用したOAMエージェントの登録と管理に関する項を参照してください。
Oracle Access Manager管理コンソールを使用して、11g Webゲート・パートナを登録します。次に例を示します。
11gWG_abc1234567
ツール・バーの「編集」ボタンをクリックして、構成ページを表示します。
「アクセス・クライアント・パスワード」を設定し、「適用」をクリックします。確認メッセージのアーティファクトの場所をメモします。
アーティファクトの場所で、ObAccessClient.xml
構成ファイルおよびcwallet.sso
を見つけてOHS_HOME/instances/
instance/config/OHS/
component/webgate/config
ディレクトリにコピーします。
OHS Webゲートを再起動するには、次のコマンドを発行します。
OHS_HOME/instances/
instance/bin
ディレクトリにナビゲートします。
エージェントを停止します。
./opmnctl startall
エージェントを起動します。
./opmnctl startall
Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity ManagerおよびOracle Access Managerの間の統合が必要です。
詳細は、第5章「Oracle Access ManagerとOracle Identity Managerの統合」を参照してください。
Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity Manager用のLDAP同期の有効化が必要です。
Oracle Adaptive Access Managerは、Oracle Identity Managerが同期するのと同じディレクトリで動作します。
注意: UIDはLDAPストア内の新しく作成されたユーザーのCNに一致する必要があり、そうしないとログインが失敗します。 |
LDAP同期の構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の第15章「Oracle Identity Managerの構成」にある、LDAP同期の有効化の前提条件チェックに関する項、LDAP構成後ユーティリティの実行に関する項およびLDAP同期の検証に関する項を参照してください。
このタスクでは、Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Manager (OAAM)の統合の一環として、Oracle Access ManagerとOracle Adaptive Access Managerのコンポーネントを統合することによって、パスワード管理およびチャレンジ関連機能をOracle Access Managerによって保護されたアプリケーションに提供します。
注意: Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合では、IdentityManagerAccessGateプロファイルがOracle Access ManagerとOracle Identity Managerの統合中に構成されているため、すでに存在しています(第7.8項「Oracle Access ManagerとOracle Identity Managerの統合」を参照してください)。 |
Oracle Access ManagerとOracle Adaptive Access Managerの統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作するように構成します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOracle Access Managerサーバーに送信します。この統合では、Oracle Access Managerサーバーは保護されたリソースにリダイレクトします。
注意: この項の表記:
次の統合手順では、参照用に、Oracle Access Managerが含まれているWLSドメインを |
Oracle Adaptive Access ManagerとOracle Access Managerの統合を次のように構成します。
Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Access Managerの構成
Oracle Access ManagerとOracle Adaptive Access Managerの統合に向けたOracle Adaptive Access Managerの構成
Oracle Access ManagerでのOracle Adaptive Access Managerによるリソースの保護
Oracle Access ManagerがSimple Security Transportationプロトコルを使用するように構成されている場合、registerThirdPartyTAPPartner
のWLSTコマンドを使用して、OAAMサーバーをパートナ・アプリケーションとして登録する必要があります。
OAAMサーバーをパートナ・アプリケーションとして登録するには、次の手順に従います。
OAM管理サーバーが実行されていることを確認します。
WLST用に環境を設定します。
IAM_ORACLE_HOME/common/binに移動します。
wlst.sh
を実行してWLSTシェルに入ります。
connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect ('username', 'password', 't3://hostname:port')
次に例を示します。
connect("weblogic","admin_password","t3://AdminHostname:7001")
registerThirdPartyTAPPartner
のWLSTを実行します。
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMPartner", keystoreLocation= "/scratch/jsmith/dwps1tap/TapKeyStore/mykeystore.jks" , password="welcome1", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://11gWG_abc1234567.mycompany.com:14300/oaam_server/oamLoginPage.jsp")
表7-1 TAPパートナの例
パラメータ | 詳細 |
---|---|
partnerName |
partnerNameは一意の名前です。Oracle Access Managerにパートナが存在する場合は、その構成が上書きされます。 |
keystoreLocation |
キーストアは既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。Windowsでは、パスをエスケープする必要があります。次に例を示します。 "C:\\oam-oaam\\tap\\keystore\\store.jks" このキーストアは、前述の手順で実行した |
password |
このパスワードは、キーストアを暗号化するために指定します。後で必要になるため、このパスワードをメモします。 |
tapTokenVersion |
11.1.1.5.0では |
tapScheme |
これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Manager管理コンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順で |
tapRedirectUrl |
このURLは機能する必要があります。機能しない場合、登録は失敗します。
このURLはアクセス可能である必要があります。それ以外の場合、検証は失敗し、パートナは作成されません。 Oracle Access ManagerとOracle Adaptive Access Managerの統合では、資格証明コレクタ・ページはOAAMサーバーによって提供されます。 |
初期構成を生成した後に、IAMSuiteエージェントを更新する必要があります。
Oracle Access Manager管理コンソールにログインします。
「システム構成」タブを選択します。
ディレクトリ・ツリーから、「Access Managerの設定」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックまたは選択します。
IAMSuiteAgentを検索し、「検索結果」で見つかったエントリをクリックします。
IAMSuiteAgentの詳細ページが表示されます。
「アクセス・クライアント・パスワード」のパスワードを指定します。
「適用」をクリックします。
注意: これでIAMSuiteエージェントがパスワード認証付きで「オープン・モード」に表示されます。別のコンソールでIDMドメインのドメイン・エージェントを使用している場合は、次の変更を加えてドメイン・エージェントの使用を続行します。
WebLogic管理コンソールにログインします。
「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
認証プロバイダのリストからIAMSuiteAgentを選択します。
「プロバイダ固有」をクリックします。
エージェントのパスワードおよびタイプを入力します。
確認するために、「保存」をクリックします。
Oracle Access Managerの構成を検証するには、次の手順を実行します。
Oracle Access Manager管理コンソールにログインします。
前述の手順で指定した認証スキームを編集します。これは、tapScheme
パラメータに対して指定した値です。
チャレンジURL
が、tapRedirectUrl
で指定した値に設定されていることを確認します。このURLの詳細は、表7-1「TAPパートナの例」を参照してください。
IAMSuiteAgentの設定を検証します。
OAAM_HOME/../<jdk160_24>/bin/java -jar OAAM_HOME/oam/server/tester/oamtest.jarにあるOAMテスターを起動します。
次のサーバー接続の詳細を指定します。
IPアドレス: OAM管理対象サーバー・ホスト
ポート: OAM Oracle Accessプロトコル(OAP)ポート
エージェントID: IAMSuiteAgent
エージェント・パスワード: IAMSuiteエージェントの更新で指定したパスワード
「接続」をクリックします。
サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。
次のように保護されたリソースのURIを指定します。
ホスト: IAMSuiteAgent
ポート: 80
リソース: /oamTAPAuthenticate
「検証」をクリックします。
検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。
ユーザー・アイデンティティ
を指定して、「認証」をクリックします。認証に成功した場合は、設定が正常に行われています。
Oracle Access ManagerとOracle Adaptive Access Managerの統合を設定します。
OAAM CLIフォルダを作業ディレクトリにコピーします。
cp -r OAAM_HOME/oaam/cli TEMP/oaam_cli
cli
フォルダをコピーした作業フォルダに移動し、テキスト・エディタでTEMP/oaam_cli/cli/conf/bharosa_properties/oaam_cli.properties
を開いて、表7-2のプロパティを設定します。
表7-2 OAAM CLIのプロパティ
パラメータ | 詳細 |
---|---|
oaam.adminserver.hostname |
これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ホストです。 |
oaam.adminserver.port |
これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ポートです。 |
oaam.adminserver.username |
これは、WebLogicサーバー・ドメインの管理サーバー・ユーザー名です(通常はweblogic)。 |
oaam.adminserver.password |
これは、oaam.adminserver.usernameプロパティで指定したユーザーのパスワードです。 |
oaam.db.url |
これは、次の形式で示されるOAAMデータベースの有効なJDBCのURLです。 jdbc:oracle:thin:@db_host:db_port:db_sid |
oaam.uio.oam.tap.keystoreFile |
これは、 このファイルを、前述のWLSTでパラメータ Windowsでは、ファイル・パスの値をエスケープする必要があります。例: " |
oaam.uio.oam.tap.partnername |
これは、WLST registerThirdPartyTAPPartnerコマンドで使用した「partnerName」です。たとえば、OAAMPartnerなどです。 |
oaam.uio.oam.host |
これは、OAMプライマリ・ホストです。 |
oaam.uio.oam.port |
これは、OAMプライマリNAP(ネットワーク・アサーション・プロトコル)/OAPポートです。これは、OAMサーバー・ポートです(デフォルト・ポート番号5575)。 |
oaam.uio.oam.webgate_id |
これは、 |
oaam.uio.oam.secondary.host |
これは、OAMセカンダリ・ホストです。 |
oaam.uio.oam.secondary.host.port |
これは、OAMセカンダリNAP/OAPポートです。 |
環境変数ORACLE_MW_HOME
を、Oracle Adaptive Access ManagerがインストールされているWebLogic Serverインストールの場所に設定します。
setenv ORACLE_MW_HOME <Location of WLS install where Oracle Adaptive Access Manager is installed>
環境変数JAVA_HOME
を、WebLogicインストールに使用するJDKに設定します。
次のコマンドを実行します:
TEMP/oaam_cli/cli/setupOAMTapIntegration.sh TEMP/oaam_cli/cli/conf/bharosa_properties/oaam_cli.properties
Oracle Adaptive Access Managerでリソースを保護するには、次の手順に従います。
Oracle Access Manager管理コンソールにログインします。
11g Webゲート登録の一環として作成されたアプリケーション・ドメインを確認します(この例では11gWG_abc1234567)。
次の手順に従って、認証ポリシーを編集します。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→「11gWG_abc1234567」→「認証ポリシー」を展開します。
「保護されたリソース・ポリシー」をクリックします。
この例では、「11gWG_abc1234567」を除き、他のすべての文字列はOracle Access Managerでそのまま使用されます。
「認証スキーム」を、registerThirdPartyTAPPartner
コマンドでtapScheme
パラメータとして指定されたTAPスキームに更新します。
「適用」をクリックして変更を保存します。
保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Oracle Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。
この項では、Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの3方向統合のために、Oracle Identity ManagerとOracle Adaptive Access Managerを統合する方法について説明します。
Oracle Identity Manager用のOracle Adaptive Access Managerプロパティを設定する手順は、次のとおりです。
次のURLにあるOAAM管理コンソールに移動します。
http://
oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
プロパティ・エディタにアクセス可能なユーザーとしてログインします。
Oracle Identity Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。
プロパティが存在しない場合は、追加する必要があります。
次のプロパティについて、デプロイ内容に従って値を設定します。
表7-3 Oracle Identity Managerのプロパティ値の構成
プロパティ名 | プロパティ値 |
---|---|
bharosa.uio.default.user.management.provider.classname |
|
oaam.oim.auth.login.config |
|
oaam.oim.url |
例: |
oaam.oim.xl.homedir |
${oracle.oaam.home}/../designconsole |
bharosa.uio.default.signon.links.enum.selfregistration.url |
ここで、 OHS設定は、Oracle Access ManagerとOracle Identity Managerとの間の統合中に実行されています。 |
bharosa.uio.default.signon.links.enum.trackregistration.url |
ここで、 OHS設定は、Oracle Access ManagerとOracle Identity Managerとの間の統合中に実行されています。 |
bharosa.uio.default.signon.links.enum.trackregistration.enabled |
true |
bharosa.uio.default.signon.links.enum.selfregistration.enabled |
true |
oaam.oim.csf.credentials.enabled |
true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
Oracle Identity Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。
http://
weblogic_host:administration_port/em
にあるOracle Fusion Middleware Enterprise Managerコンソールに移動します。
WebLogic管理者(たとえば、WebLogic
)としてログインします。
左側ペインのナビゲーション・ツリーで「<Base_Domain>」アイコンを展開します。
ドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
Oracle Identity Managerでは、チャレンジ質問に関連する機能を提供するために、システム・プロパティが構成されてOracle Identity ManagerではなくOracle Adaptive Access Managerが有効化されます。
Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合用にOracle Identity Managerのプロパティを変更するには、次の手順に従います。
Oracle Identity Manager管理コンソールにログインします。
セルフサービス・コンソールの「拡張」リンクをクリックします。
「システム管理」で「システム・プロパティ」をクリックします。
「拡張検索」をクリックします。
次のプロパティを設定し、「保存」をクリックします。
注意: これらのURLでは、Oracle Access Managerで構成したとおりにホスト名を使用します。たとえば、Oracle Access Managerの構成中に完全なホスト名(ドメイン名あり)を指定した場合は、URLに完全なホスト名を使用します。 |
表7-5 Oracle Identity Managerのリダイレクト
キーワード | プロパティ名および値 |
---|---|
OIM.DisableChallengeQuestions |
TRUE |
OIM.ChangePasswordURL |
Oracle Adaptive Access Managerにあるパスワード変更ページのURL (http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/ 高可用性(HA)環境では、OAAMサーバーの仮想IP URLを指すようにこのプロパティを設定します。 |
OIM.ChallengeQuestionModificationURL |
Oracle Adaptive Access Managerにあるチャレンジ質問変更ページのURL (http://oaam_server_managed_server_host:oaam_server_managed_server_port/ |
注意: この項の手順は、IAMSuiteAgentアプリケーション・ドメインでTAPスキームを使用する場合にのみ実行する必要があります。 |
IAM Suiteドメインでアイデンティティ管理製品リソースにTAPスキーム、保護される上位レベルのポリシーを使用するには、次の構成を実行する必要があります。
Oracle Access Manager管理コンソールにログインします。
「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→「IAMsuiteAgent」→「認証ポリシー」→保護される上位レベルのポリシーの順に選択します。
「認証ポリシー」ページで、「リソース」タブからIAMSuiteAgent:/oamTAPAuthenticate
を削除します。
「適用」をクリックします。
IAMSuiteアプリケーション・ドメインに新しい認証ポリシーを作成します。
「認証ポリシー」ページで、「認証スキーム」フィールドにあるLDAPScheme
を選択します。
IAMSuiteAgent:/oamTAPAuthentication
をリソースとして追加します。
「適用」をクリックします。
この項では、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合に関する追加のトラブルシューティングおよび構成のヒントについて説明します。
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。たとえば、「パスワードを忘れた場合」ページが表示されず、元のログイン・ページにリダイレクトされます。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
構成でCookieドメインの値が正しくない場合、ログインが失敗することがあります。
正しくWebゲートを操作するには、プロパティoaam.uio.oam.obsso_cookie_domain
がOracle Access Managerの対応する値(たとえば、.us.oracle.com
)に一致するように設定されていることを確認します。
複数のアイデンティティ・ストアを伴う統合シナリオでは、デフォルト・ストアとして設定されたユーザー・アイデンティティ・ストアが認証およびアサーションに使用されます。異なるストアを指すようにデフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。
OAMとOAAMのTAP統合では、TAPScheme認証スキームのアサーションはデフォルト・ストアに対して行われます。この場合、LDAPモジュールに対して行われるバックエンド・チャネル認証では、特定のユーザー・アイデンティティ・ストア(たとえば、OID)が使用されます。ユーザー名がOracle Access Managerに返されると、アサーションはデフォルト・ストア(認証に使用されたものとは異なるOID)に対して行われます。
注意: セッション偽装のため、ユーザーおよび権限付与に使用されるOracle Internet Directoryインスタンスはデフォルト・ストアである必要があります。 |
デフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。そうしないと、認証は成功しても、最後のリダイレクトが次のエラーで失敗することがあります。
Module oracle.oam.user.identity.provider Message Principal object is not serializable; getGroups call will result in an extra LDAP call Module oracle.oam.engine.authn Message Cannot assert the username from DAP token Module oracle.oam.user.identity.provider Message Could not modify user attribute for user : cn, attribute : userRuleAdmin, value : {2} .
Oracle Access ManagerとOracle Adaptive Access Managerの統合のためにOracle Adaptive Access Managerを構成するsetupOAMTapIntegration
スクリプトを実行する場合、スクリプトが正常に完了したか失敗したかを示すメッセージが提供されません。