8 Oracle Access Manager 10gとOracle Adaptive Access Manager 11gの統合

この章では、Oracle Adaptive Access Manager 11gをOracle Access Manager 10gと統合するプロセスについて説明します。この統合は次のように機能します。

1. ユーザーが保護されたリソースにアクセスしようとすると、Oracle Access ManagerのログインではなくOracle Adaptive Access Managerのログイン・ページにリダイレクトされます。

2. Oracle Adaptive Access Managerにより、ユーザー認証がOracle Access Managerに委任されます。

3. その後、Oracle Adaptive Access Managerにより、ユーザーのリスク分析が実行されます。

この章では、次の内容を説明します。

• 前提条件

• 統合の概要

• OAAM Webサーバー用のOAMアクセス・ゲートの構成

• OAM認証スキームの構成

• Oracle Access Managerの接続の構成(オプション)

• OAAM Webサーバー用のWebゲートの設定

• OAAM認証を使用するOAMドメインの構成

• OHSの構成

• Oracle Adaptive Access Managerのプロパティの構成

• IP検証の無効化

• Oracle Adaptive Access ManagerとOracle Access Managerの統合のテスト

8.1 前提条件

統合を実行する前に、次の前提条件が満たされていることを確認してください。

• 次のすべての必要なコンポーネントが適切にインストールされ、構成されています。

  • Oracle Adaptive Access Manager 11g

  • Oracle Access Manager 10.1.4.3

  • アプリケーション・サーバー

• 次の2つの異なる認証スキームを使用して単純なHTMLリソースを保護するようにOracle Access Manager環境が構成されています。

  • 最初の認証スキームではBasic Over LDAPを使用します。

  • 2つ目の認証スキームは、さらに高いセキュリティ・レベルを提供し、カスタム・フォームベースの認証スキームを使用することによってOAAMサーバーを統合します。

    第8.4項「OAM認証スキームの構成」を参照してください。

8.2 統合の概要

別途明記されている場合を除き、Oracle Access Adaptive Manager 11gとOracle Access Manager 10gの統合を完了するために次の手順が必要です。

• OAAM Webサーバー用のOAMアクセス・ゲートの構成

• OAM認証スキームの構成

• Oracle Access Managerの接続の構成(オプション)

• OAAM Webサーバー用のWebゲートの設定

• OAAM認証を使用するOAMドメインの構成

• OHSの構成

• Oracle Adaptive Access Managerのプロパティの構成

• IP検証の無効化

8.3 OAAM Webサーバー用のOAMアクセス・ゲートの構成

Oracle Access ManagerとOracle Adaptive Access Managerの統合では、Oracle Access Managerアクセス・ゲートはOAAMサーバーへのWebサーバー(従来のWebゲート)に面します。

OAAMサーバーへのWebサーバーに面するOracle Access Managerアクセス・ゲートを構成するには、次の手順を実行します。

1. 「新規アクセス・ゲートの追加」をクリックします。

2. 次の表の設定を使用して新しいアクセス・ゲートを作成し、それにアクセス・サーバーを割り当てます。

   表8-1 OHS Webゲートの構成

   パラメータ	値
   アクセス・ゲート名	ohsWebGate
   説明	OAAMサーバーをホストするWebサーバー用のアクセス・ゲート
   ホスト名	<hostname>
   ポート	<port>
   アクセス・ゲートのパスワード	<passwd>
   デバッグ	<Off>
   最大ユーザー・セッション時間（秒）	3600
   アイドル・セッション時間(秒)	3600
   最大接続数	1
   トランスポート・セキュリティ	<Open>
   IPの検証	<On>
   IPの検証例外	<空白のまま>
   最大クライアント・セッション時間(時間)	24
   フェイルオーバーしきい値	1
   アクセス・サーバー・タイムアウトしきい値	<空白のまま>
   スリープ時間(秒)	60
   キャッシュ内の最大要素	10000
   キャッシュ・タイムアウト(秒)	1800
   偽装ユーザー名	<空白のまま>
   偽装パスワード	<空白のまま>
   アクセス管理サービス	<On>
   優先HTTP Cookieドメイン	.<domain_name>
   優先HTTPホスト	<hostname>:<port>
   保護されていない場合に拒否	<Off>
   CachePragmaHeader	no-cache
   CacheControlHeader	no-cache
   LogOutURLs	<空白のまま>
   ユーザー定義パラメータ	<空白のまま>
   アクセス・サーバーの割当て(プライマリ)	<oam_hostname>:<port>
   接続数	1

   
   

3. 「アクセス・ゲート構成」をクリックします。

4. 「OK」をクリックして、すべてのアクセス・ゲートを検索します。

   これで、新しいアクセス・ゲートが表示されるようになります。

8.4 OAM認証スキームの構成

OAAMサーバーを認証メカニズムとして利用するには、Oracle Access Managerに、OAAMサーバーへの認証の転送方法を理解するための定義済の認証スキームが備わっている必要があります。

Oracle Adaptive Access Managerの認証スキームを定義するには、次の手順に従います。

1. 「認証管理」をクリックします。

2. 「新規」をクリックします。

3. 次の表の設定を使用して、新しいOAAMサーバー認証スキームの作成を開始します。

   表8-2 OAAMサーバー認証スキームの構成

   パラメータ	値
   名前	Adaptive Strong Authentication
   説明	Oracle Adaptive Access Manager-OAAMサーバー仮想認証パッドの認証スキーム
   レベル	3
   チャレンジ・メソッド	フォーム
   チャレンジ・パラメータ	form:/oaam_server/oamLoginPage.jsp
   	creds:userid password
   	action:/oaam_server/
   SSL必須	<No>
   チャレンジ・リダイレクト	<リダイレクトURL>
   有効	<無効/グレー表示>

   
   

4. 「保存」をクリックします。

5. 「OK」をクリックして保存操作を確認します。

6. 「プラグイン」をクリックします。

7. 「変更」をクリックします。

8. 「追加」をクリックします。

9. 次の表に示されている情報を使用して、プラグイン構成を作成します。

   表8-3 OAAMサーバー認証スキームの構成 - プラグイン

   プラグイン名	プラグイン・パラメータ
   credential_mapping	obMappingBase="dc=<domain>,dc=com",obMappingFilter="(uid=%userid%)"
   validate_password	obCredentialPassword="password"

   
   

10. 「保存」をクリックします。

11. 「一般」をクリックします。

12. 「変更」をクリックします。

13. 「有効」を「はい」に設定します。

14. 「保存」をクリックします。

8.5 Oracle Access Managerの接続の構成(オプション)

OAAMサーバーによって使用されるアクセス・ゲートには、ホスト識別子のエントリがある必要があります。ホスト識別子機能を使用して、ホストの正式名と、ホストのアドレスを指定する際にユーザーが使用できるその他の名前をすべて入力します。

リストにある任意のアドレスに送信されたリクエストはホストの正式名にマップされ、適用可能なルールおよびポリシーが実装されます。これは、仮想サイトのホスティング環境で主に使用されます。

8.6 OAAM Webサーバー用のWebゲートの設定

認証用のCookieおよびOAAMサーバーの必要なHTTPヘッダーを正しく処理するには、OAAMサーバーを標準WebゲートおよびWebサーバーで保護する必要があります。

OAAMサーバーとともに使用するWebゲートを設定するには、次の手順に従います。

1. Apache HTTP Server 2.xをインストールし、WebLogic Serverプラグインを使用して構成します。

   Apache HTTP Serverプラグインをインストールして構成する方法の手順は、以下を参照してください。

   http://e-docs.bea.com/wls/docs92/plugins/apache.html
   

2. アプリケーション・サーバー(およびWebサーバー)を停止します。

3. Webゲートのインストール・プログラムを実行します。

4. Webゲートの構成では、次の設定を使用します。

   表8-4 OAAMサーバーとともに使用するWebゲートの設定

   属性	値
   WebゲートID	ohsWebGate
   Webゲートのパスワード	<password>
   アクセス・サーバーID	<Access ServerId>
   ホスト名	<hostname>
   ポート	<port>

   
   

8.7 OAAM認証を使用するOAMドメインの構成

これでOAAMサーバー認証は、Oracle Access Managerポリシー・ドメインに対して動作可能になっています。

OAAM認証スキーム(厳密認証)を使用するようにOracle Access Managerポリシー・ドメインを変更するには、次の手順に従います。

1. Oracle Access Managerホストにログインします。たとえば、http://hostname/access/oblixなどです。

2. 「ポリシー・マネージャ」をクリックします。

3. 管理者としてログインします。

4. 「ポリシー・ドメイン」をクリックします。

5. 「<ApplicationPolicy >」をクリックします。

6. 「デフォルト・ルール」をクリックします。

7. 「変更」をクリックします。

8. 「認証スキーム」ドロップダウン・セレクタから、「Adaptive Strong Authentication」を選択します。

9. 「OK」をクリックして認証スキームの変更を確認します。

10. 「キャッシュの更新」が選択されていることを確認します。

11. 「保存」をクリックします。

12. Internet Explorerを閉じます。

8.8 OHSの構成

OAAMサーバーのプロキシになるようにOHSを構成します。11g OHSでは、mod_wl_ohs.confを変更することによってこの作業を行います。

プロキシを設定するには、OHS configフォルダに移動してmod_wl_ohs.confファイルを変更する必要があります。追加するエントリの例を次に示します。

<Location /oaam_server>
SetHandler weblogic-handler
WebLogicHost name.mycompany.com
WebLogicPort 24300
</Location>

8.9 Oracle Adaptive Access Managerのプロパティの構成

この統合を機能させるには、Oracle Access Manager用のOracle Adaptive Access Managerのプロパティ、およびCSF内のOracle Access Managerの資格証明を設定する必要があります。

8.9.1 Oracle Access Manager用のOracle Adaptive Access Managerプロパティの設定

注意: この手順を実行する前に、OAAM管理コンソールを保護するかどうかを考慮に入れる必要があります。 コンソールを保護する場合は、外部LDAPストアでユーザーおよびグループの作成を処理する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のLDAPにおけるOracle Adaptive Access Managerの管理グループとユーザーの作成に関する項を参照してください。 または OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールでユーザーを作成する必要があります。 (注意: 環境変数またはJavaプロパティWLSAGENT_DISABLED=trueを設定することによって、OAAM管理コンソールの保護を無効化できます。)

Oracle Access Manager用のOracle Adaptive Access Managerプロパティを設定する手順は、次のとおりです。

1. Oracle Adaptive Access Managerサーバーをホストしている管理対象サーバーを起動します。

2. http://oaam_managed_server_host:oaam_admin_server_port/oaam_adminにあるOracle Adaptive Access Manager管理コンソールにナビゲートします。

3. プロパティ・エディタにアクセス可能なユーザーとしてログインします。

4. Oracle Access Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。

   プロパティが存在しない場合は、追加する必要があります。

   次のプロパティについて、デプロイ内容に従って値を設定します。

   表8-5 Oracle Access Managerのプロパティ値の構成

   プロパティ名	プロパティ値
   bharosa.uio.default.password.auth.provider.classname	com.bharosa.vcrypt.services.OAMOAAMAuthProvider
   bharosa.uio.default.is_oam_integrated	true
   oaam.uio.oam.host	アクセス・サーバー・ホスト・マシン名 例: host.oracle.com
   oaam.uio.oam.port	アクセス・サーバー・ポート(例: 3004)
   oaam.uio.oam.obsso_cookie_domain	アクセス・サーバーWebゲート・エージェントに定義されているCookieドメイン
   oaam.uio.oam.java_agent.enabled	デフォルト値はfalseです。OAM Javaエージェント(WLSAgentとも呼ばれます)を使用してアプリケーションを保護する場合にのみ、これをtrueに設定します。 このプロパティを設定する場合は、プロパティoaam.uio.oam.obsso_cookie_nameについて次の点に注意します。 デフォルトでは、プロパティoaam.uio.oam.obsso_cookie_nameは存在しません。 Javaエージェントを使用する場合はJavaエージェントによりOAMAuthnCookie Cookieが使用されるため、oaam.uio.oam.java_agent.enabledをtrueに設定するときに、あわせてプロパティoaam.uio.oam.obsso_cookie_nameを値OAMAuthnCookieに設定します。 Webゲート・エージェントを使用するためにoaam.uio.oam.java_agent.enabledをfalseに設定する場合は、プロパティoaam.uio.oam.obsso_cookie_nameが設定されていればそのプロパティを削除します。 このプロパティの設定は、OAM Javaエージェントを使用する場合にのみ必要です。
   oaam.uio.oam.virtual_host_name	OAM Javaエージェント(WLSAgentとも呼ばれます)を使用する場合、デフォルト値はIDMDomainです。 仮想ホスト名がIDMDomainとは異なる場合にのみ、この値を変更します。
   oaam.uio.oam.webgate_id	IdentityManagerAccessGate Oracle Identity Manager統合用のWebゲート・エージェントの名前。デフォルトはIdentityManagerAccessGateです。
   oaam.uio.login.page	/oamLoginPage.jsp
   oaam.uio.oam.authenticate.withoutsession	false
   oaam.uio.oam.secondary.host	セカンダリ・アクセス・サーバー・ホスト・マシンの名前。 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。
   oaam.uio.oam.secondary.host.port	セカンダリ・アクセス・サーバーのポート番号 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。
   oaam.oam.csf.credentials.enabled	true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。

   
   

Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。

IDMドメイン・エージェントの詳細は、第1.2項「IDMDomainエージェントおよびWebゲートに関する注意」を参照してください。

8.9.2 資格証明ストア・フレームワークでのOracle Access Manager資格証明の設定

Oracle Access Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。

1. http://weblogic_server_host:admin_port/emにあるOracle Fusion Middleware Enterprise Managerコンソールにナビゲートします。

2. WebLogic管理者としてログインします。

3. 左側ペインのナビゲーション・ツリーで「Base_Domain」を展開します。

4. 使用するドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。

5. 「マップの作成」をクリックします。

6. 「oaam」をクリックしてマップを選択し、「キーの作成」をクリックします。

7. ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。

8. 次のプロパティを指定し、「OK」をクリックします。

   表8-6 OAAMドメインへのパスワード資格証明の追加

   名前	値
   マップ名	oaam
   キー名	oam.credentials
   キー・タイプ	パスワード
   ユーザー名	管理者権限を持つOracle Access Managerユーザー
   パスワード	Oracle Access Manager Webゲート・エージェントのパスワード

   
   

8.10 IP検証の無効化

Oracle Adaptive Access Managerにより認証後にユーザーを保護されたURLに転送するには、IP検証を無効化する必要があります。

IP検証を無効化するには、次の手順に従います。

1. アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。

2. 「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックしてから「アクセス・ゲート構成」リンクを左ペインでクリックし、「アクセス・ゲートの検索」ページを表示します。

3. 適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。

4. 「アクセス・ゲート」を選択します。

   たとえば、oaam11gWgなどです。

5. 「変更」をページの下部でクリックします。

6. 「IPの検証」を「オフ」に設定します。

7. ページの下部にある「保存」をクリックします。

8.11 Oracle Adaptive Access ManagerとOracle Access Managerの統合のテスト

構成をテストするには、アプリケーションにアクセスしてみます。Oracle Access Managerにより、未認証のリクエストが捕捉され、資格証明のチャレンジのためにOAAMサーバーにリダイレクトされます。