この章では、Oracle Adaptive Access Manager 11gをOracle Access Manager 10gと統合するプロセスについて説明します。この統合は次のように機能します。
ユーザーが保護されたリソースにアクセスしようとすると、Oracle Access ManagerのログインではなくOracle Adaptive Access Managerのログイン・ページにリダイレクトされます。
Oracle Adaptive Access Managerにより、ユーザー認証がOracle Access Managerに委任されます。
その後、Oracle Adaptive Access Managerにより、ユーザーのリスク分析が実行されます。
この章では、次の内容を説明します。
統合を実行する前に、次の前提条件が満たされていることを確認してください。
次のすべての必要なコンポーネントが適切にインストールされ、構成されています。
Oracle Adaptive Access Manager 11g
Oracle Access Manager 10.1.4.3
アプリケーション・サーバー
次の2つの異なる認証スキームを使用して単純なHTMLリソースを保護するようにOracle Access Manager環境が構成されています。
最初の認証スキームではBasic Over LDAPを使用します。
2つ目の認証スキームは、さらに高いセキュリティ・レベルを提供し、カスタム・フォームベースの認証スキームを使用することによってOAAMサーバーを統合します。
第8.4項「OAM認証スキームの構成」を参照してください。
別途明記されている場合を除き、Oracle Access Adaptive Manager 11gとOracle Access Manager 10gの統合を完了するために次の手順が必要です。
Oracle Access ManagerとOracle Adaptive Access Managerの統合では、Oracle Access Managerアクセス・ゲートはOAAMサーバーへのWebサーバー(従来のWebゲート)に面します。
OAAMサーバーへのWebサーバーに面するOracle Access Managerアクセス・ゲートを構成するには、次の手順を実行します。
「新規アクセス・ゲートの追加」をクリックします。
次の表の設定を使用して新しいアクセス・ゲートを作成し、それにアクセス・サーバーを割り当てます。
表8-1 OHS Webゲートの構成
パラメータ | 値 |
---|---|
アクセス・ゲート名 |
ohsWebGate |
説明 |
OAAMサーバーをホストするWebサーバー用のアクセス・ゲート |
ホスト名 |
<hostname> |
ポート |
<port> |
アクセス・ゲートのパスワード |
<passwd> |
デバッグ |
<Off> |
最大ユーザー・セッション時間(秒) |
3600 |
アイドル・セッション時間(秒) |
3600 |
最大接続数 |
1 |
トランスポート・セキュリティ |
<Open> |
IPの検証 |
<On> |
IPの検証例外 |
<空白のまま> |
最大クライアント・セッション時間(時間) |
24 |
フェイルオーバーしきい値 |
1 |
アクセス・サーバー・タイムアウトしきい値 |
<空白のまま> |
スリープ時間(秒) |
60 |
キャッシュ内の最大要素 |
10000 |
キャッシュ・タイムアウト(秒) |
1800 |
偽装ユーザー名 |
<空白のまま> |
偽装パスワード |
<空白のまま> |
アクセス管理サービス |
<On> |
優先HTTP Cookieドメイン |
.<domain_name> |
優先HTTPホスト |
<hostname>:<port> |
保護されていない場合に拒否 |
<Off> |
CachePragmaHeader |
no-cache |
CacheControlHeader |
no-cache |
LogOutURLs |
<空白のまま> |
ユーザー定義パラメータ |
<空白のまま> |
アクセス・サーバーの割当て(プライマリ) |
<oam_hostname>:<port> |
接続数 |
1 |
「アクセス・ゲート構成」をクリックします。
「OK」をクリックして、すべてのアクセス・ゲートを検索します。
これで、新しいアクセス・ゲートが表示されるようになります。
OAAMサーバーを認証メカニズムとして利用するには、Oracle Access Managerに、OAAMサーバーへの認証の転送方法を理解するための定義済の認証スキームが備わっている必要があります。
Oracle Adaptive Access Managerの認証スキームを定義するには、次の手順に従います。
OAAMサーバーによって使用されるアクセス・ゲートには、ホスト識別子のエントリがある必要があります。ホスト識別子機能を使用して、ホストの正式名と、ホストのアドレスを指定する際にユーザーが使用できるその他の名前をすべて入力します。
リストにある任意のアドレスに送信されたリクエストはホストの正式名にマップされ、適用可能なルールおよびポリシーが実装されます。これは、仮想サイトのホスティング環境で主に使用されます。
認証用のCookieおよびOAAMサーバーの必要なHTTPヘッダーを正しく処理するには、OAAMサーバーを標準WebゲートおよびWebサーバーで保護する必要があります。
OAAMサーバーとともに使用するWebゲートを設定するには、次の手順に従います。
Apache HTTP Server 2.xをインストールし、WebLogic Serverプラグインを使用して構成します。
Apache HTTP Serverプラグインをインストールして構成する方法の手順は、以下を参照してください。
http://e-docs.bea.com/wls/docs92/plugins/apache.html
アプリケーション・サーバー(およびWebサーバー)を停止します。
Webゲートのインストール・プログラムを実行します。
Webゲートの構成では、次の設定を使用します。
これでOAAMサーバー認証は、Oracle Access Managerポリシー・ドメインに対して動作可能になっています。
OAAM認証スキーム(厳密認証)を使用するようにOracle Access Managerポリシー・ドメインを変更するには、次の手順に従います。
Oracle Access Managerホストにログインします。たとえば、http://hostname/access/oblixなどです。
「ポリシー・マネージャ」をクリックします。
管理者としてログインします。
「ポリシー・ドメイン」をクリックします。
「<ApplicationPolicy >」をクリックします。
「デフォルト・ルール」をクリックします。
「変更」をクリックします。
「認証スキーム」ドロップダウン・セレクタから、「Adaptive Strong Authentication」を選択します。
「OK」をクリックして認証スキームの変更を確認します。
「キャッシュの更新」が選択されていることを確認します。
「保存」をクリックします。
Internet Explorerを閉じます。
OAAMサーバーのプロキシになるようにOHSを構成します。11g OHSでは、mod_wl_ohs.conf
を変更することによってこの作業を行います。
プロキシを設定するには、OHS config
フォルダに移動してmod_wl_ohs.conf
ファイルを変更する必要があります。追加するエントリの例を次に示します。
<Location /oaam_server> SetHandler weblogic-handler WebLogicHost name.mycompany.com WebLogicPort 24300 </Location>
この統合を機能させるには、Oracle Access Manager用のOracle Adaptive Access Managerのプロパティ、およびCSF内のOracle Access Managerの資格証明を設定する必要があります。
注意: この手順を実行する前に、OAAM管理コンソールを保護するかどうかを考慮に入れる必要があります。
|
Oracle Access Manager用のOracle Adaptive Access Managerプロパティを設定する手順は、次のとおりです。
Oracle Adaptive Access Managerサーバーをホストしている管理対象サーバーを起動します。
http://oaam_managed_server_host:oaam_admin_server_port/oaam_adminにあるOracle Adaptive Access Manager管理コンソールにナビゲートします。
プロパティ・エディタにアクセス可能なユーザーとしてログインします。
Oracle Access Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。
プロパティが存在しない場合は、追加する必要があります。
次のプロパティについて、デプロイ内容に従って値を設定します。
表8-5 Oracle Access Managerのプロパティ値の構成
プロパティ名 | プロパティ値 |
---|---|
bharosa.uio.default.password.auth.provider.classname |
com.bharosa.vcrypt.services.OAMOAAMAuthProvider |
bharosa.uio.default.is_oam_integrated |
true |
oaam.uio.oam.host |
アクセス・サーバー・ホスト・マシン名 例: host.oracle.com |
oaam.uio.oam.port |
アクセス・サーバー・ポート(例: 3004) |
oaam.uio.oam.obsso_cookie_domain |
アクセス・サーバーWebゲート・エージェントに定義されているCookieドメイン |
oaam.uio.oam.java_agent.enabled |
デフォルト値はfalseです。OAM Javaエージェント(WLSAgentとも呼ばれます)を使用してアプリケーションを保護する場合にのみ、これをtrueに設定します。 このプロパティを設定する場合は、プロパティoaam.uio.oam.obsso_cookie_nameについて次の点に注意します。
このプロパティの設定は、OAM Javaエージェントを使用する場合にのみ必要です。 |
oaam.uio.oam.virtual_host_name |
OAM Javaエージェント(WLSAgentとも呼ばれます)を使用する場合、デフォルト値はIDMDomainです。 仮想ホスト名がIDMDomainとは異なる場合にのみ、この値を変更します。 |
oaam.uio.oam.webgate_id |
IdentityManagerAccessGate Oracle Identity Manager統合用のWebゲート・エージェントの名前。デフォルトはIdentityManagerAccessGateです。 |
oaam.uio.login.page |
/oamLoginPage.jsp |
oaam.uio.oam.authenticate.withoutsession |
false |
oaam.uio.oam.secondary.host |
セカンダリ・アクセス・サーバー・ホスト・マシンの名前。 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
oaam.uio.oam.secondary.host.port |
セカンダリ・アクセス・サーバーのポート番号 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
oaam.oam.csf.credentials.enabled |
true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
IDMドメイン・エージェントの詳細は、第1.2項「IDMDomainエージェントおよびWebゲートに関する注意」を参照してください。
Oracle Access Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。
http://weblogic_server_host:admin_port/emにあるOracle Fusion Middleware Enterprise Managerコンソールにナビゲートします。
WebLogic管理者としてログインします。
左側ペインのナビゲーション・ツリーで「Base_Domain」を展開します。
使用するドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択し、「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
Oracle Adaptive Access Managerにより認証後にユーザーを保護されたURLに転送するには、IP検証を無効化する必要があります。
IP検証を無効化するには、次の手順に従います。
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックしてから「アクセス・ゲート構成」リンクを左ペインでクリックし、「アクセス・ゲートの検索」ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
「アクセス・ゲート」を選択します。
たとえば、oaam11gWgなどです。
「変更」をページの下部でクリックします。
「IPの検証」を「オフ」に設定します。
ページの下部にある「保存」をクリックします。