この章では、Access Manager固有の設定について説明します。この章は、次のトピックで構成されています。
この項では、この章のタスクの要件を明らかにします。この章のタスクを開始する前に、次のトピックを確認してください。
「システム構成」タブの「Access Manager」セクションには、Access Managerのサービスの操作に固有の設定が数多く用意されています。
表11-1 Access Managerの設定
設定 | 参照先 |
---|---|
ロード・バランシング |
|
サーバー・エラー・モード |
|
SSO |
|
アクセス・プロトコル |
OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理 |
ポリシー |
|
ここでは、次の内容について説明します。
アプリケーションのパフォーマンス、スループットまたは高可用性の向上が求められる本番環境では、2つ以上の管理対象サーバーがクラスタとして機能するように構成できます。クラスタとは、同時に稼働し、協調動作によってスケーラビリティと信頼性の向上を実現する、WebLogic Serverの複数のサーバー・インスタンスの集合です。クラスタでは、(単一の管理対象サーバーでなく)管理対象サーバーごとに、ほとんどのリソースおよびサービスがまったく同じようにデプロイされるため、フェイルオーバーとロード・バランシングが可能になります。1つのドメインには、複数のWebLogic Serverクラスタが存在していても、クラスタとして構成されていない複数の管理対象サーバーが存在していてもかまいません。管理対象サーバーがクラスタ化されている場合とされていない場合の重要な違いは、フェイルオーバーとロード・バランシングに対するサポートです。これらの機能は、管理対象サーバーがクラスタ化されている場合にのみ利用できます。
デフォルトでは、Access Managerは1つのOAMサーバーにすべてのログインおよびログアウト・リクエストを送信します。高可用性デプロイメントでは、この設定を変更してログインおよびログアウト・リクエストが最初にローカル・バランサに送信されるようにする必要があります。
関連項目: Access Managerで高可用性を得るためのデプロイメントを設定する高度な手順については、『Oracle Fusion Middleware高可用性ガイド』のAccess Managerの高可用性の手順に関する項を参照してください。 |
図11-2に、「Access Managerの設定」ページの「ロード・バランシング」の設定セクションを示します。以前のリリースでは、これはSSOエンジンの設定の一部でした。SSOエンジンはセッションのコントローラです。
表11-2で、各要素とその使用方法を説明します。設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagementコンソールでAccess Managerのロード・バランシング設定を変更できます。
共通のロード・バランシング仕様を表示または編集する手順
Oracle Access Managementコンソールで、「ロード・バランシング」を開きます。
「ロード・バランシング」エリアを展開します。
表示のみ: 終了する場合はページを閉じます。
変更: デプロイメントのロード・バランシング設定を編集します(表11-2)。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
カスタム・ログイン・アプリケーションの一部として、カスタム・エラー・ページがパッケージされています。すぐに使用可能なカスタムWebアプリケーションのアーカイブ・ファイルが提供されており、カスタマイズされたログイン・ページやパスワード・ページを開発するための開始点として使用できます。
サーバー・エラー・モード設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。この項の内容は次のとおりです。
図11-2は、「Access Managerの設定」ページの「ロード・バランシング」設定エリアに表示されるサーバー・エラー・モードの機能を示しています。
表11-3は、デプロイメントのサーバー・エラー・モードを構成するために選択できるオプションについて説明しています。
表11-3 サーバー・エラー・モード
要素 | 説明 |
---|---|
サーバー・エラー・モード |
ここで選択する設定によって、操作が失敗したとき(ユーザー名またはパスワードが無効、サーバー・エラー(LDAPサーバーへの接続が切れている)など)にOAMサーバーによって返されるエラー・メッセージの性質や、エラー・コードが決まります。 次のいずれかの設定を選択し、カスタム・ログイン・ページのエラー・メッセージと各セキュリティ・レベルを構成します。
関連項目: 「OAMサーバーのセキュア・エラー・モードの管理」. |
表11-4は、3つのモードそれぞれのエラーのトリガー条件とメッセージ・コードを示しています。
表11-4 エラーのトリガー条件、モード、メッセージ・コード
エラーのトリガー条件 | 内部モード | 外部モード | セキュア・モード |
---|---|---|---|
無効なログインを試行しました。 |
OAM-1 |
OAM-2 |
OAM-8 |
送信された資格証明の処理が失敗しました。たとえば、WNAモードでSPNEGOトークンが受信されない場合などです。 |
OAM-3 |
OAM-3 |
OAM-8 |
認証例外が発生しました。 |
OAM-4 |
OAM-4 |
OAM-9 |
特定の条件(たとえば、無効な試行回数を超過)に基づいてユーザー・アカウントがロックされています。 |
OAM-5 |
OAM-5 |
OAM-8 OAM-9(OIM統合) |
ユーザー・アカウントが無効化されています。 |
OAM-5 |
OAM-5 |
OAM-9 |
ユーザーが許可される最大セッション数(構成可能な属性)を超えました。 |
OAM-6 |
OAM-6 |
OAM-9 |
デフォルトのエラー・メッセージ。これは特定のメッセージが伝播されていない場合に表示されます。これはユーザー・レベルには伝播されません。複数の発生条件が考えられます。 |
OAM-7 |
OAM-7 |
OAM-9 |
パスワードの有効期限が切れています。 |
OAM-10 |
OAM-10 |
OAM-9 |
表11-5に、エラー・コード、トリガー条件、推奨のメッセージを示します。
関連項目: 『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のカスタム・エラー・ページの開発に関する項を参照してください。 |
表11-5 外部エラー・コード、トリガー条件、推奨メッセージ
外部エラー・コード | トリガー条件 | 推奨される表示メッセージ |
---|---|---|
OAM-1 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
OAM-2 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
OAM-3 |
送信された資格証明の処理がなんらかの理由で失敗しました。たとえば、WNAモードでSPENGOトークンが受信されない場合などです。 |
内部エラー。 |
OAM-4 |
なんらかの理由で認証例外が発生しました。 |
システム・エラーです。システム管理者に連絡してください。 |
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIM統合。パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIM統合なしのOID: パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-5 |
ユーザー・アカウントが無効です。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-6 |
ユーザーが許可される最大セッション数を超えました。これは構成可能な属性です。 |
ユーザーはすでにセッションの最大許容数に達しました。ログインを再試行する前に、既存のセッションの1つをクローズしてください。 |
OAM-7 |
失敗の原因はいくつか考えられます。セキュリティ上の理由により、正確な理由はユーザー・レベルに伝播されません。次に例を示します。
特定のメッセージが伝播されていない場合、デフォルトのエラー・メッセージが表示されます。 |
システム・エラーです。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
OAM-8 |
表11-4を参照してください。 |
認証に失敗しました。 |
OAM-9 |
システム・エラーです。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
システム・エラーです。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
OAM-10 |
パスワードの有効期限が切れています。 |
パスワードの有効期限が切れました。 |
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagementコンソールでOAMサーバーのAccess Managerセキュア・エラー・モードを変更できます。
OAMサーバーのセキュア・エラー・モードを表示または編集する方法
Oracle Access Managementコンソールで、「Access Managerの設定」ページを開きます。
サーバー・エラー・モード:
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
「SSOトークンとIPの検証の管理」に進みます。
ここでは、次の内容について説明します。
図11-4に、「Access Managerの設定」ページのシングル・サインオン(SSO)の部分を示します。表11-6で、各要素とその使用方法を説明します。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagementコンソールでAccess Managerのロード・バランシング設定を変更できます。
Access ManagerのSSO仕様を表示または編集する手順
Oracle Access Managementコンソールで、「Access Managerの設定」ページを開きます。
「Access Managerの設定」ページで、「SSO」セクションを展開します。
表示のみ: 終了する場合はページを閉じます。
変更: 残りの手順を実行して、構成を編集します。
表11-6の詳細に基づいて、デプロイメントの必要に応じて、設定を編集します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
この項の内容は次のとおりです。
表11-7は、簡易モードと証明書モードの共通点を示します。
表11-7 サマリー: 簡易モードと証明書モード
アーティファクトまたはプロセス | 簡易モード | 証明書モード | オープン・モード |
---|---|---|---|
X.509デジタル証明書のみ。 |
X |
X |
なし |
OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246(TLS v1)を使用して暗号化されます。 |
X |
X |
なし |
aaa_key.pem openSSLにより生成 |
aaa_key.pem CAにより生成 |
なし |
|
プライバシ強化メール(PEM)フォーマットの署名された証明書 |
openSSLにより生成されるaaa_cert.pem |
CAにより生成されるaaa_cert.pem |
なし |
OAMサーバーの構成中に、使用するモードに応じて、秘密鍵をグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebgateで秘密鍵を使用するには、正しいパスフレーズが必要です。 |
最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ:
|
PEMフォーマット:
|
なし |
OAMエージェントまたはOAMサーバーの登録中に、通信モードがOracle Access Managementコンソールに伝播されます。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて同じパスフレーズ。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。 |
なし |
Webgateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。 ルートCAは、Webgate証明書を返します。この証明書は、Webgateのインストール中またはインストール後にインストールできます。 |
cacert.pem Oracle提供のopenSSL認証局により署名された証明書リクエスト |
aaa_req.pem 使用する認証局により署名された証明書リクエスト |
なし |
DESアルゴリズムを使用して秘密鍵を暗号化します。次に例を示します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des
|
なし |
X |
なし |
エージェント・キー・パスワード |
なし |
エージェントの登録時に証明書セキュリティ・モードでパスワードを入力します(表13-1「11gおよび10g OAMエージェントの作成ページの要素」を参照)。 |
なし |
エージェント登録時に、ObAccessClient.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/config/OHS/ohs1/webgate/config 条件: 11gWebgate_instance_dir=Oracle_Home/instance/instance1 10g Webgateの場合: $Webgate_install_dir/oblix/lib |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
ObAccessClient.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
エージェント登録時に、password.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 付録C |
password.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
password.xml 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir/ 10g Webgateの場合: $Webgate_install_dir/ |
なし |
エージェント登録時に、aaa_key.pemが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 付録C |
aaa_key.pem 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir... 10g Webgateの場合: $Webgate_install_dir... |
aaa_key.pem 次の場所にコピーします。 11g Webgateの場合: 11gWebgate_instance_dir... 10g Webgateの場合: $Webgate_install_dir... |
なし |
表11-8は、簡易または証明書モードの構成に必要な設定を示します。
表11-8 サーバー共通のOAMプロキシ・セキュア通信の設定
モード | 説明 |
---|---|
簡易モード構成 |
OAMが署名したX.509証明書を使用した通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。 管理者はこのパスフレーズを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。 |
証明書モード構成 |
外部の認証局により署名された証明書モードのX.509証明書が存在するキーKEYSTOREStoreに必要な詳細。
注意: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。 管理者は、別名とパスワードを編集して、既存のすべてのOAMエージェントがそれを使用するように再構成できます。この説明は、「OAMプロキシの簡易または証明書設定の表示または編集」にあります。 |
管理者はこの手順を使用して、共通OAMプロキシの設定を確認または変更できます。
OAMプロキシの簡易または証明書モード設定を表示あるいは編集する手順
「システム構成」タブの「Access Manager」セクションで、「Access Managerの設定」ページを開きます。
ページの「アクセス・プロトコル」セクションを、必要に応じて展開します。
簡易モードの場合: OAMが署名したX.509証明書を使用する場合は、「グローバル・パスフレーズ」を追加または変更します。
証明書モードの構成: 次の詳細を指定します。
PEMキーストア別名
PEMキーストア別名パスワード
「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
必要に応じてエージェント登録ページを更新してアーティファクトを再生成し、第12章または第13章の説明に従って初期のアーティファクトを置き換えます。
この項では次の内容について説明します。
図11-5に、「Access Managerの設定」ページの「ポリシー」セクションを示します。このセクションには、「リソース一致キャッシュ」と「認可結果キャッシュ」の設定項目があり、この設定は実行時のポリシー評価に使用されます。
表11-9は、すべてのサーバーおよびリクエストに適用されるこれらのグローバル設定の概要を示します。
表11-9 ポリシー評価キャッシュ
要素 | 説明 |
---|---|
リソース一致キャッシュ |
リクエストされたURLと、そのURLに適用されるリソース・パターンを保持するポリシー間のマッピングをキャッシュ化します。 デフォルト値:
|
認可結果キャッシュ |
リクエストされたURLおよびユーザーのポリシー決定をキャッシュ化します。 デフォルト値:
関連項目: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』 |
管理者はこの手順を使用して、Access Managerのポリシー評価キャッシュを管理できます。
関連項目: ガイド
|
実行時の共通ポリシー評価キャッシュ設定を管理する手順
Oracle Access Managementコンソールで、「Access Managerの設定」ページを開きます。
「Access Managerの設定」ページで、「ポリシー」セクションを展開します。
リソース一致キャッシュ: 詳細を指定して「適用」をクリックします(表11-9)。
認可結果キャッシュ: 詳細を指定して「適用」をクリックします(表11-9)。
「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。