この章では、Oracle Access Managementに統合されたサービスで一般的に使用されるプロパティの構成方法を説明します。この章の内容は次のとおりです。
この項では、共通のシステム構成要素の概要を示します。特に明記しないかぎり、共通構成要素は、ドメイン内のすべてのOAMサーバーおよびサービスによって共有されます。図3-1は、「システム構成」タブの「共通構成」セクションを示します。
表3-1は、「システム構成」タブの「共通構成」セクションを示します。ここの項目は、スイートのすべてのサービスに適用します。また、それぞれについての詳細情報を検索できます。
表3-1 「システム構成」: 「共通構成」セクション
ノード | 説明 |
---|---|
使用可能なサービス |
すべてのサービスにアクセスできます。 関連項目: 「使用可能なサービスの有効化または無効化」 |
共通設定 |
セッション・プロパティ、Oracle Coherence、監査構成、デフォルトおよびシステム・アイデンティティ・ストアなど、すべてのOracle Access Managementサービスに適用するプロパティと設定を提供します。 関連項目: 「共通設定の管理」 |
サーバー・インスタンス |
すべての登録されているOAMサーバー・インスタンスにアクセスできます。 関連項目: 第5章「サーバー登録の管理」 |
セッション管理 |
アクティブ・セッション管理操作にアクセスできます。 関連項目: 第14章「セッションの管理」 |
パスワード・ポリシー |
Access Managerのグローバル・パスワード・ポリシーの管理操作にアクセスできます。 関連項目: 第16章。 |
証明書検証 |
証明書失効リストおよびOCSP/CDP設定にアクセスできます。 関連項目: 「グローバル証明書検証および失効の管理」 |
データ・ソース |
Oracle Access Managementの登録済ユーザー・アイデンティティ・ストアにアクセスできます。 関連項目: 第4章「データ・ソースの管理」 |
プラグイン |
Oracle Access Managementサービスへの認証機能拡張するプラグインをインポート、配布、アクティブ化(または非アクティブ化)および削除するメカニズムを提供します。
|
図3-2は、「共通構成」セクションの「使用可能なサービス」ページを示しています。このページには、サービスの状態と、サービスの有効化または無効化を制御するコントロールが表示されています。最初は、「Access Manager」のサービスのみが有効になっています。Oracle Access Management管理者は、関連する機能を使用するために、Oracle Access Managementコンソールにログインしてサービスを有効化する必要があります。この例外は、アイデンティティ・コンテキストで、デフォルトで有効化され、無効化するコントロールがありません。
サービス名の横にある「ステータス」フィールドの緑のチェック・マークは、サービスが有効であることを示します。中に線がある赤の円は、該当するサービスが無効であることを示します。
表3-2 共通のサービス
サービス | 説明 |
---|---|
Access Manager |
「Access Manager」の機能はデフォルトで有効化されています。「Access Manager」サービスは、SSOポリシーの設定と、Access Manager、「共通構成」、およびRESTサービスを有効化するタイミングの構成を要求されます。 デフォルト: 有効 ほかにAccess Managerおよび共通構成に必要なサービスはありません。 |
アイデンティティ・フェデレーション |
フェデレーション・パートナを管理するには、有効化する必要があります。 デフォルト: 無効 注意: Identity Federationがもう1つの認証モジュールであるためAccess Managerサービスも有効化する必要があります。 関連項目: 第VII部: Oracle Access ManagementのIdentity Federationの管理 |
セキュリティ・トークン・サービス |
このサービスを有効化すると、セキュリティ・トークン・サービスの機能を使用できます。 デフォルト: 無効 Access Managerサービスは必要ありません。 |
Mobile and Social |
モバイルおよびソーシャル・サービスは、次のいずれかの方法でデプロイできます。
|
前提条件
WebLogic AdminServerが稼動している必要があります。
Oracle Access Managementコンソールのログインとサインアウト
サービスを有効化または無効化する手順
Oracle Access Managementコンソールから、次を開きます。
サービスの有効化: 目的のサービス名の横にある「有効化」をクリックします(または「ステータス」のチェック・マークが緑であることを確認します)。
サービスの無効化: 目的のサービス名の横にある「無効化」をクリックします(または「ステータス」のチェック・マークが赤であることを確認します)。
共通設定は、すべてのOAMサーバー・インスタンスおよびサービスに適用されます。ここでは、次の内容について説明します。
共通設定は、スイート内のすべてのサービスに適用されます。図3-3は、「共通設定」ページの名前付きセクションを示し、これらを展開すると関連する要素および値を表示できます。
Oracle Access Management管理者は、表3-3で説明されているように、単一のサービスのみでなくスイート全体で使用されるパラメータを制御および指定できます。
表3-3 共通設定
タブ名 | 説明 |
---|---|
セッション |
セッション構成とは、セッションのライフサイクル要件を管理するプロセスと、グローバル・ログアウトを可能にするためのイベントの通知を指します。エンティティのセッションのログアウトでログアウトがすべてのエンティティに伝播していることを確認するには、OSSOエージェント(mod_osso)のグローバル・ログアウトが必要です。 関連項目: 「共通設定の管理」。 |
コヒーレンス |
すべてのOAMサーバーで共有される共通のOracle Coherence設定は、個々のOAMサーバーの設定とは異なります。ただし、どちらの場合でも、Oracleサポートの指示がない限りは、これらの設定を調整しないことをお薦めします。 関連項目: 「共通設定の管理」。 |
監査構成 |
Oracle Access Managementは、多数の管理イベントおよび実行時イベントの監査、統一されたロギングおよび例外処理、すべての監査イベントの診断をサポートしています。Oracle Access Management監査構成は、 関連項目: 「共通設定の管理」および「Oracle Access Managementコンソールを使用した監査構成について」 |
デフォルトおよびシステム・アイデンティティ・ストア |
このセクションは、デフォルト・アイデンティティおよびシステム・ストアを識別し、これは同じ(または異なる)ものになる場合があります。 関連項目: 「共通設定の管理」。 |
関連項目: すべてのOAMコンポーネントに共通の他の操作の詳細: |
有効なOracle Access Management管理者の資格証明を持つユーザーは、次のタスクを実行して、「共通設定」ページの表示および変更の実行ができます。それぞれの主な手順には、このマニュアル内に記載されている詳細への参照が含まれています。
前提条件
OAMサーバーが稼動している必要があります。
共通設定を管理する手順
「システム構成」タブから、「共通構成」セクションを展開し、ナビゲーション・ツリーの「共通設定」をダブルクリックします。
セッション:
「共通設定」ページで「セッション」セクションを展開します。
必要に応じて、各リストの横にある矢印キーをクリックしてセッションのライフサイクル設定を増減させます。
データベース永続性: ボックスを選択してアクティブ・セッションのデータベース永続性を有効化します(または選択を解除してデータベース永続性を無効化します)。
「適用」をクリックして変更を送信します。
関連項目: 第14章「セッションの管理」。
コヒーレンス: 「共通のコヒーレンス設定の表示」を参照してください。
監査構成:
「監査構成」セクションを開きます。
「監査構成」セクションで、使用環境の詳細を正しく入力します。
「適用」をクリックして「監査構成」を送信します(または変更を適用しないでページを閉じます)。
関連項目: 第8章「管理イベントとランタイム・イベントの監査」。
デフォルト・ストアおよびシステム・ストア
「デフォルトおよびシステム・アイデンティティ・ストア」セクションを展開します。
システム・ストア(またはデフォルト・ストア)の名前をクリックし、構成ページを表示します。
詳細は、「デフォルト・ストアおよびシステム・ストアの設定」を参照してください。
図3-4は、「コヒーレンス」セクションを展開した「共通設定」ページを示します。
注意: Oracleサポートの支援なしにこれらの設定を変更しないことをお薦めします。 |
表3-4は、これらの設定について説明します。
表3-4 共通のコヒーレンス設定
要素 | 説明 |
---|---|
ポート |
1から65535の範囲の値を指定できます。 |
クラスタ・アドレス |
224.1.255.0から239.255.255.255の値が許可されます。 |
存続時間 |
0から255の値がサポートされます。 |
クラスタ・ポート |
1から65535の範囲の値を指定できます。 |
共通のコヒーレンス設定を表示する手順
「システム構成」タブから「共通構成」セクションを展開し、「共通設定」をダブルクリックします。
「共通設定」ページで「コヒーレンス」セクションを展開します。
終了したらページを閉じます。変更はしないでください。
ここでは、次の内容について説明します。
Oracle Access Managementは、オンライン証明書ステータス・プロトコル(OCSP)を使用して、OAMサーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスします。
OCSPは、X.509デジタル証明書の失効ステータスの取得に使用されます。
OCSPは、証明書ステータスを含むサーバーとそのステータスを通知されるクライアント・アプリケーションの間の通信構文を指定します。
OCS応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻します。
証明書検証モジュールはSecurity Token Serviceによって使用され、次を使用してX.509トークンを検証し、(必要に応じて)証明書が失効しているかどうかを検証します。
証明書失効リスト(CRL)
Online Certificate Status Protocol
CRL配布ポイント拡張(CDP拡張)
証明書失効リスト(CRL)は、公開鍵インフラストラクチャを使用する場合のネットワーク内のサーバーへのアクセスを保守する一般的な方法です。CRLは、デジタル証明書ステータスとペアになったサブスクライバのリストです。失効した証明書は理由とともにリストされます。証明書発行の日付および発行したエンティティも含まれます。さらに、各リストには次のリリースの提示日が含まれます。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。
図3-5は、コンソールのグローバル証明書検証のOCSP/CDP設定を示します。
図3-6は、コンソールを使用したCA CRLの追加を示します。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用してサーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスできます。これは、連続したデータ保護の有効化および現在のCA証明書失効リストのインポートによって実現されます。
前提条件
CA証明書失効リスト(CA CRL)をインポートできるようにします。
証明書失効リストを管理する手順
Oracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リスト」ノードを開き、次のようにします。
「有効」ボックスが選択されていることを確認します。
追加: 「追加」ボタンをクリックし、CRLファイルを参照して選択し、「インポート」をクリックします。
削除: 表内のリスト名をクリックし、「削除」(x)ボタンをクリックし、確認が表示されたら確認します。
構成を保存します。
CRLを検索します。
表を確認します。
例による問合せを有効化し、表のヘッダー・フィールドにフィルタ文字列を入力します。
「証明書検証の有効化」に進みます。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用してサーバーのセキュリティおよび他のネットワーク・リソースをメンテナンスできます。これは、オンライン証明書ステータス・プロトコルを有効化することによって実現されます。
前提条件
CA証明書失効リスト(CA CRL)をインポートできるようにします。
証明書検証を管理する手順
Oracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リスト」ノードを開きます。
「有効」ボックスが選択されていることを確認します。
構成を保存します。
OCSP/CDPノードを開きます。
OCSPを有効化します。
OCSPサービスのURLを入力します。
OCSPサービスのサブジェクトDNを入力します。
この構成を保存します。
「CRL配布ポイント拡張の構成(CDP)」に進みます。