| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2) B69533-02 |
|
 前 |
 次 |
Mobile and Socialには、インターネット・アイデンティティ・サービスを構成するためのGUIが用意されています。この章では、Oracle Access Managementコンソールを使用して、モバイル・サービスを構成する方法について説明します。この章の内容は、次のとおりです。
|
注意: インターネット・アイデンティティ・サービスは、WLSTを使用することでコマンドラインから構成することもできます。Mobile and SocialのWLSTコマンドの詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。 |
インターネット・アイデンティティ・サービスのグラフィカル・ユーザー・インタフェース(GUI)は、管理者が正常に認証されてOracle Access Managementコンソールへのアクセスが得られると表示できるようになります。このコンソールは、次の部分に分割されています。
ホーム・エリアは、コンソールが最初に表示されたときに、GUIの右側に配置される広いウィンドウです。このページには、インターネット・アイデンティティ・サービスのほとんどの構成オブジェクトが一覧表示され、構成プロセスを論理的な順序で進められるように編成されています。ホーム・エリア内の構成オブジェクトは、パネルの左上隅にある矢印ボタンをクリックすることで展開または縮小できるパネルに表示されます。
ナビゲーション・ペインは、GUIの左部分に表示されます。このペインは、インターネット・アイデンティティ・サービス構成オブジェクトを階層型ビューで表示します。ほとんどの場合、構成オブジェクトの作成、編集および削除には、ホーム・エリアまたはナビゲーション・ペインのいずれかを使用できます。(ただし、ジェイルブレーク検出ポリシー構成オブジェクトを開く場合は、ナビゲーション・ペインを使用する必要があります。)ナビゲーション・ペイン内のコントロールを使用すると、構成オブジェクトを作成、表示、編集および削除できます。
ナビゲーション・ペインを使用すると、構成オブジェクトを関係ビューまたはカテゴリ・ビューで表示できます。関係ビューには、構成オブジェクトが階層順に表示されます(サービス・ドメインが一番上)。カテゴリ・ビューには、構成オブジェクトを簡単に参照できるようにするフラット構造を使用して、構成オブジェクトがオブジェクト・タイプ別にリストされます。2つのビューを切り替えるには、ツリービュー・ペインの上部にあるメニュー・バーのボタンを使用します。
次の手順を実行すると、インターネット・アイデンティティ・サービスの構成ページにアクセスできます。
Oracle Access Managementコンソールにログインします。
コンソールの上部にある、「システム構成」タブをクリックします。
ページの左側にある「Mobile and Social」をクリックします。
「インターネット・アイデンティティ・サービス」をクリックします。
「Mobile and Socialへようこそ - インターネット・アイデンティティ・サービス」ページがホーム・エリアにロードされます。
「Mobile and Socialへようこそ - インターネット・アイデンティティ・サービス」の構成ページは、ホーム・エリアに表示されます。これは、複数のパネルに分割されていて、管理時には表示または非表示にできます。次の各項では、「インターネット・アイデンティティ・サービス」パネルについて詳細に説明します。
「インターネット・アイデンティティ・プロバイダ」パネルは、GoogleやFacebook、Twitterなどのアイデンティティ・プロバイダの(事前構成されている)構成の詳細を編集するために使用します。これらの設定は、一度確立した後はそれほど頻繁に変更する必要はありません。
Javaインタフェースoracle.security.idaas.rp.spi.IdentityProviderを実装することで、ユーザー自身を追加するインターネット・アイデンティティ・プロバイダの構成の詳細を定義することもできます。インターネット・アイデンティティ・プロバイダの追加の詳細は、Oracle Access Management開発者ガイドのMobile and Socialサーバーの機能の拡張に関する項を参照してください。
インターネット・アイデンティティ・プロバイダの詳細は、第39.3項「インターネット・アイデンティティ・プロバイダの定義」を参照してください。
サービス・プロバイダ・インタフェースは、指定したアプリケーション・プロファイルの認証フローを制御する一連のルールを指します。Mobile and Socialは、次のサービス・プロバイダ・インタフェースを提供します。
DefaultServiceProviderInterface: Javaに準拠したアプリケーション・サーバーで実行されるWebアプリケーションのサポートを提供します。
OAMServiceProviderInterface: Access Managerサービスで実行されるWebアプリケーションのサポートを提供します。
サービス・プロバイダ・インタフェースの詳細は、第39.4項「サービス・プロバイダ・インタフェースの定義」を参照してください。
|
注意: Java開発者は、1つ以上のアイデンティティ・プロバイダ・インタフェース・コントラクトのカスタム実装を作成できます。「サービス・プロバイダ・インタフェース」セクションは、開発者が作成したカスタム・サービス・プロバイダを追加する必要がある場合にのみ使用します。 |
アプリケーション・プロファイルでは、Mobile and Socialサーバー上のインターネット・アイデンティティ・プロバイダ・サービスを使用するアプリケーションを定義します。このパネルを使用して、モバイル・アプリケーション、Javaに準拠したアプリケーション・サーバーで実行されるWebアプリケーション、およびAccess Managerと統合されるWebアプリケーションが、インターネット・アイデンティティ・サービスを使用するように構成します。
WebアプリケーションがAccess Managerと統合されていない場合は、インターネット・アイデンティティ・サービスのログイン・ページをWebアプリケーションと統合します。詳細は、Oracle Access Management開発者ガイドの「インターネット・アイデンティティ・サービス・クライアントSDKを使用したアプリケーションの開発」の章を参照してください。
WebアプリケーションがAccess Managerに統合されている場合は、OAMApplicationという名前の事前構成済のアプリケーション・プロファイルを編集します。Oracle Access Managementのインストール時に、Access ManagerとMobile and Socialを同時にインストールすると、両方の製品が信頼されたパートナとして登録され、事前構成済のアプリケーション・プロファイルが含まれます。そのため、Access Managerとインターネット・アイデンティティ・サービスに統合されているWebアプリケーションを統合するために、コードを記述する必要はありません。Mobile and Socialに組み込まれているOAMApplicationアプリケーション・プロファイルは、Access Managerと連動するように事前構成済であり、わずかな構成変更を実行するだけで、使用している環境で動作するようになります。
アプリケーション・プロファイルの詳細は、第39.5項「アプリケーション・プロファイルの定義」を参照してください。
インターネット・アイデンティティ・プロバイダは、GoogleやFacebook、Twitterなどのアイデンティティ・プロバイダについての構成詳細を収集します。インターネット・アイデンティティ・プロバイダの作成後に、その設定を変更する必要はほとんどありません。次の各項では、インターネット・アイデンティティ・プロバイダの作成、変更および削除について説明します。
Oracle Access Managementコンソールで、「インターネット・アイデンティティ・サービス」ホーム・ページを開きます(第39.1項「インターネット・アイデンティティ・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「インターネット・アイデンティティ・プロバイダ」パネルで、「作成」をクリックします。
「新規インターネット・アイデンティティ・プロバイダの作成」構成ページが表示されます。
インターネット・アイデンティティ・プロバイダのプロパティに値を入力します。
名前: この認証サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
インターネット・アイデンティティ・プロバイダ・プロトコル: ドロップダウン・メニューからアイデンティティ・プロバイダを選択します。
Google (OpenID)
Yahoo (OpenID)
Facebook (OAuth)
Twitter (OAuth)
LinkedIn (OAuth)
「カスタム」を選択すると、カスタム・アイデンティティ・プロバイダを構成できます。ここでの選択内容により、表示される「プロトコル属性」パネルと「返されたユーザー属性」パネルは、そのインターネット・アイデンティティ・プロバイダ(OpenIDまたはOAuth)で使用する認証プロトコルに特有のプロパティを反映するように変更されます。
実装クラス: このフィールドには、インターネット・アイデンティティ・プロバイダの選択に基づいて、それに該当するプロバイダ固有のJavaインタフェースoracle.security.idaas.rp.spi.IdentityProviderの実装が移入されます。(「カスタム」の場合は、そのアイデンティティ・プロバイダと通信する該当の実装クラスを入力します。)Mobile and Socialサーバーは、この情報を使用して、インターネット・アイデンティティ・プロバイダと通信します。
「プロトコル属性」のプロパティに値を入力します。この値は、前の手順で選択したインターネット・アイデンティティ・プロバイダで使用するプロトコル「OpenID」(表39-1)または「OAuth」(表39-2)に基づいて決定します。(「カスタム」の場合、カスタム・プロバイダに必要な値と、使用される認証プロトコルに関連する値をすべて追加します。)
OpenIDプロトコルを実装するアイデンティティ・プロバイダに必要になる値を指定します(表39-1を参照)。
表39-1 OpenIDプロトコルの属性
| 名前 | 値 | 注意 |
|---|---|---|
|
Yadisエンドポイント |
HTTPまたはHTTPSの絶対URLになります |
このアイデンティティ・プロバイダのOpenID認証プロトコル・メッセージを受け入れる、公開URLを入力します。Mobile and Socialは、このURLを使用して、ユーザー認証リクエストを作成します。 |
|
ハッシュ・アルゴリズム |
|
署名アルゴリズムを選択します。Mobile and Socialによって、この値が内部で使用されて、アイデンティティ・プロバイダと通信するためのセッション・タイプおよびアソシエーション・タイプ・プロパティが構成されます。 |
|
|
ユーザーの認証時、OpenIDプロバイダで認証ポリシーを適用することを要求する場合は「はい」を選択します。それ以外の場合は、「いいえ」を選択します。 |
PAPE (Provider Authentication Policy Extension)の使用により、Web開発者は、アイデンティティ・プロバイダからユーザーにパスワードの入力を再度要求することなどフローに対するその他の変更を要求できます。 |
|
|
0秒以上の値を指定します。パスワードの再入力の要求を強制するには、 |
アクティブに認証を受けていないユーザーが、要求された認証ポリシーを使用して認証を受けることが必要になる前にログイン・セッションを使用できる最長時間を秒単位で入力します。このパラメータを使用すると、アイデンティティ・プロバイダへのユーザーのログイン・セッションが最新であることを確実にできます。 |
|
|
ユーザーの認証時、アイデンティティ・プロバイダが満たす必要がある認証ポリシーを表す0個以上のURIを空白で区切って入力します。次に例を示します。
|
OAuthプロトコルを実装するアイデンティティ・プロバイダに必要になる値を指定します(表39-2を参照)。
表39-2 OAuthプロトコルの属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
アイデンティティ・プロバイダの公開OAuth認可URLです。アイデンティティ・プロバイダが公開OAuth URLを変更したときには、それに合せて、この値を更新します。 |
アイデンティティ・プロバイダによってリクエスト・トークンが返された後、Mobile and SocialによってユーザーがこのURLに誘導されます(リクエスト・トークンURLを参照してください)。アイデンティティ・プロバイダによってユーザーのアイデンティティが検証され、ユーザーは、ユーザーの保護されている情報をMobile and Socialサーバーに解放する権限をアイデンティティ・プロバイダに付与します。 |
|
|
アイデンティティ・プロバイダの公開アクセス・トークンURLを入力します。 |
ユーザーがリクエスト・トークンを(認可URLを使用して).認可した後、Mobile and SocialによってこのURLが使用されてアイデンティティ・プロバイダにアクセス・トークンが要求されます。 |
|
|
アイデンティティ・プロバイダの公開リクエスト・トークンURLを入力します。(Facebookには適用されません。) |
Mobile and Socialは、このURLを使用して、アイデンティティ・プロバイダからリクエスト・トークンを取得します。アイデンティティ・プロバイダによってリクエスト・トークンが付与された後、Mobile and Socialサーバーによってユーザーがアイデンティティ・プロバイダの認可URLに誘導されます。(RFC 5849「The OAuth 1.0 Protocol」のrequest tokenおよびrequest secretという用語は、temporary credentialsという用語にかわりました。) |
|
|
アイデンティティ・プロバイダの公開プロファイルURLを入力します。 |
Mobile and Socialは、このURLを使用して、OAuthアクセス・トークンに基づいてユーザー属性を要求します。 |
|
|
Mobile and Socialサーバーが、それ自体をアイデンティティ・プロバイダに識別させるために使用する値を入力します。 |
アイデンティティ・プロバイダからコンシューマ・キーを要求する方法の詳細は、第39.3.3項「OAuthプロバイダのコンシューマ・キーおよびコンシューマ・シークレットの生成」を参照してください。 |
|
|
コンシューマ・キーの所有権を確立するためにMobile and Socialサーバーが使用するシークレットを入力します。 |
アイデンティティ・プロバイダからコンシューマ・シークレットを要求する方法の詳細は、第39.3.3項「OAuthプロバイダのコンシューマ・キーおよびコンシューマ・シークレットの生成」を参照してください。 |
|
|
Mobile and Socialサーバーとリモート・アイデンティティ・プロバイダの時間が同期されていない場合は、リモート・プロバイダにリクエストを送信するときに現在のサーバー時刻に追加するスキューを分単位で入力します。このフィールドには、正と負の両方の整数を入力できます。 |
通常、LinkedInでは、同期しているサーバー時刻値が必要とされます。FacebookやTwitterには適用されません。 「属性名」列に、OpenIDアイデンティティ・プロバイダによって返される属性名に割り当てるローカル・アプリケーション属性名を入力します。「属性スキーマ名」列に、Mobile and Socialサーバーがアイデンティティ・プロバイダにユーザー・データを要求できるURLを入力します。 「属性名」列に、アイデンティティ・プロバイダがサポートしていない属性を追加した場合、それらの属性は、Mobile and Socialで使用できません。 |
「返されたユーザー属性」パネルに値を追加します。この値は、前の手順で選択したインターネット・アイデンティティ・プロバイダのプロトコル「OpenID」、「OAuth」または「カスタム」に基づいて決定します。
OpenID: 「属性名」列に、アイデンティティ・プロバイダが返す属性名に割り当てる、ローカル・アプリケーション属性名を入力します。「属性スキーマ名」列に、Mobile and Socialサーバーがアイデンティティ・プロバイダにユーザー・データを要求できるURLを入力します。「属性名」列に、アイデンティティ・プロバイダがサポートしていない属性を追加した場合、それらの属性は、Mobile and Socialで使用できません。表39-3「Googleが返すユーザー属性値」と表39-4「Yahooが返すユーザー属性値」に、GoogleおよびYahooがサポートするユーザー属性を示します。
表39-3 Googleが返すユーザー属性
| 属性 | 説明 |
|---|---|
|
country |
ユーザーの母国を要求します。次のように設定する必要があります。 |
|
|
ユーザーのGmailアドレスを要求します。次のように設定する必要があります。
|
|
firstname |
ユーザーの名前を要求します。次のように設定する必要があります。
|
|
language |
ユーザーの優先言語を要求します。次のように設定する必要があります。
|
|
lastname |
ユーザーの姓を要求します。次のように設定する必要があります。
|
表39-4 Yahooが返すユーザー属性
| 属性 | 説明 |
|---|---|
|
gender |
ユーザーの性別を要求します。次のように設定する必要があります。
|
|
|
ユーザーの電子メール・アドレスを要求します。次のように設定する必要があります。
|
|
fullname |
ユーザーの姓名を要求します。次のように設定する必要があります。
|
|
language |
ユーザーの優先言語を要求します。次のように設定する必要があります。
|
|
nickname |
ユーザーの希望する名前を要求します。次のように設定する必要があります。
|
|
Timezone |
ユーザーの優先タイムゾーンを要求します。次のように設定する必要があります。
|
OAuth: OAuthアイデンティティ・プロバイダ(Twitter、FacebookおよびLinkedIn)が返すユーザー・プロファイル属性を指定します。「属性名」列に、アイデンティティ・プロバイダによって返される属性名に対応するローカル・アプリケーション属性名を入力します。「属性スキーマ名」列に、アイデンティティ・プロバイダ属性名を入力します。OAuthプロバイダの場合、「属性名」値と「属性スキーマ名」 値は、通常、同じです。
|
注意: LinkedInは、ユーザー・アイデンティティ属性をMobile and Socialに返すときに電子メール・アドレスも暗号化されていないログインIDも返しません。LinkedInからのアイデンティティ属性を使用して、ユーザーの登録フォームに事前移入する場合は、この制限に注意してください。 |
カスタム: 「属性名」列に、カスタム・アイデンティティ・プロバイダが返す属性名に割り当てる、ローカル・アプリケーション属性名を入力します。「属性スキーマ名」列に、Mobile and Socialサーバーがアイデンティティ・プロバイダにユーザー・データを要求できるURLを入力します。
「作成」をクリックして、インターネット・アイデンティティ・プロバイダ構成オブジェクトを作成します。
インターネット・アイデンティティ・プロバイダを編集または削除するには、パネルでプロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。属性の説明は、第39.3.1項「インターネット・アイデンティティ・プロバイダの作成」を参照してください。
次の各項では、OAuthプロトコルをサポートするインターネット・アイデンティティ・プロバイダ用のコンシューマ・キーとコンシューマ・シークレットの生成方法について説明します。
|
注意: この項の手順は、このドキュメントの公開日の時点で正確です。Facebook、TwitterおよびLinkedInのWebサイトを使用したコンシューマ・キーおよびコンシューマ・シークレットの作成に必要な手順は、常に変更される可能性があります。 |
この項では、Facebook用のコンシューマ・キーとコンシューマ・シークレットの生成方法を説明します。
次のURLをWebブラウザで開きます。
「Create New App」をクリックします。
「Create New App」フォームに入力します。
Facebookによりアプリケーションが作成され、それに一意のアプリケーションIDおよびアプリケーション・シークレットが割り当てられます。
「Basic Info」セクションに情報を入力します。
「Select how your application integrates with Facebook」セクションで、「Website with Facebook Login」を選択します。
「Site URL」フィールドに、Mobile and Socialサーバーに到達できるURLを入力します。次に例を示します。
http://OAM-Hosted-Machine: Port/
「Save Changes」をクリックします。
第39.4.1項の説明に従って、「インターネット・アイデンティティ・プロバイダ」→「フェイスブック」構成ページを開いて編集します。
「コンシューマ・キー」フィールドにアプリケーションIDを、「コンシューマ・シークレット」フィールドにアプリケーション・シークレットを貼り付けます。
「適用」をクリックして、変更を保存します。
この項では、Twitter用のコンシューマ・キーとコンシューマ・シークレットの生成方法を説明します。
次のURLをWebブラウザで開きます。
「Create an application」フォームに入力します。
「Callback URL」フィールドに、Mobile and Socialサーバーに到達できるURLを入力します。次に例を示します。
http://OAM-Hosted-Machine: Port/oic_rp/return
Twitterによりアプリケーションが作成され、それに一意のコンシューマ・キーおよびコンシューマ・シークレットが割り当てられます。
(オプション)自分のTwitterアプリケーションを必要に応じて構成し、変更内容を保存します。
第39.4.1項の説明に従って、「インターネット・アイデンティティ・プロバイダ」→「ツイッター」構成ページを開いて編集します。
「コンシューマ・キー」フィールドにコンシューマ・キーを、「コンシューマ・シークレット」フィールドにコンシューマ・シークレットを貼り付けます。
「適用」をクリックして、変更を保存します。
この項では、LinkedIn用のコンシューマ・キーとコンシューマ・シークレットの生成方法を説明します。
次のURLをWebブラウザで開きます。
「Add New Application」フォームに入力します。
「OAuth User Agreement」セクションの「OAuth Redirect URL」フィールドに、Mobile and Socialサーバーに到達できるURLを入力します。次に例を示します。
http://OAM-Hosted-Machine: Managed Server Port/
「Add Application」をクリックします。
LinkedInによってアプリケーションが作成され、それに一意のAPIキーおよびシークレット・キーが割り当てられます。
第39.4.1項の説明に従って、「インターネット・アイデンティティ・プロバイダ」→LinkedIn構成ページを開いて編集します。
「コンシューマ・キー」フィールドにAPIキーを、「コンシューマ・シークレット」フィールドにシークレット・キーを貼り付けます。
「適用」をクリックして、変更を保存します。
この項では、Facebookインターネット・アイデンティティ・プロバイダに影響する、既知の構成問題について説明します。
次の手順に従って、FacebookをサポートするようにWebLogic Serverを構成します。
WebLogicコンソールを開きます。
http://host:port/console
「ドメイン」→「環境」→「サーバー」→「管理対象サーバー」を選択します。
「SSL」タブ、「詳細」を順にクリックします。
ロックして編集構成をクリックします。
ホスト名検証機能を「なし」に変更します。
管理対象サーバーを再起動します。
ホスト名検証機能が「なし」に設定されていないと、Facebookがアイデンティティ・プロバイダである場合に、保護されたリソースへのアクセスが試みられたときに次のエラーが表示されることがあります。
Exception in processRequest method: oracle.security.idaas.rp.RPException: oracle.security.idaas.rp.RPException: Request failed:
FacebookのSSL証明書には、ワイルドカード識別子として*.facebook.comが含まれています。WebLogic Serverバージョン10.3.5以前には、ワイルドカードを含むホスト名の検証に問題があります。このため、Facebookと、WebLogic Server上にデプロイされたOracle Access Management Mobile and Socialのインストールの間に通信障害が発生する場合があります。回避方法は、次のとおりです。
WebLogic Serverバージョン10.3.5またはそれ以前を使用している場合、次の手順を実行します。
管理コンソールで、「サーバー」→「oam_server_where_Mobile_and_Social_is_deployed」→「SSL」→「詳細」を選択します。
ホスト名検証機能を「なし」に変更します。
このWebLogic Serverのバグは、バージョン10.3.6で次のように修正されました。新しいカスタム・ホスト名検証機能SSLWLSWildcardHostnameVerifierが実装されました。これは、デフォルトのホスト名検証機能から導出されており、SANなど、デフォルトのホスト名検証機能で実行できることがすべてサポートされています。SSLハンドシェイク中にワイルドカード証明書のサポートが必要な場合はこのカスタム・ホスト名検証機能を使用するようにWebLogic Serverを構成する必要があります。1つの選択肢としては、次のWebLogicプロパティを使用することがありです。
-Dweblogic.security.SSL.hostnameVerifier=weblogic.security.utils.SSLWLSWildca rdHostnameVerifier
サービス・プロバイダ・インタフェースは、指定したアプリケーション・プロファイルの認証フローを制御する一連のルールを指します。Mobile and Socialは、次のサービス・プロバイダ・インタフェースを提供します。
DefaultServiceProviderInterface: Javaに準拠したアプリケーション・サーバーで実行されるWebアプリケーションのサポートを提供します。
OAMServiceProviderInterface: Access Managerサービスで実行されるWebアプリケーションのサポートを提供します。
必要に応じて、Java開発者は、1つ以上のアイデンティティ・プロバイダ・インタフェース・コントラクトのカスタム実装を作成できます。この項には次のトピックが含まれます:
Oracle Access Managementコンソールで、「インターネット・アイデンティティ・サービス」ホーム・ページを開きます(第39.1項「インターネット・アイデンティティ・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロバイダ・インタフェース」パネルで、「作成」をクリックします。
「新規サービス・プロバイダ・インタフェースの作成」構成ページが表示されます。
サービス・プロバイダ・インタフェースのプロパティに値を入力します。
名前: この認証サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
インタフェース情報のプロパティに値を入力します(表39-5を参照)。
「作成」をクリックして、サービス・プロバイダ・インタフェース構成オブジェクトを作成します。
サービス・プロバイダ・インタフェースを編集または削除するには、パネルでプロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。属性の説明は、第39.4.1項「サービス・プロバイダ・インタフェースの作成」を参照してください。
カスタム・インタフェース実装を追加するには、新しいインターネット・アイデンティティ・プロバイダを作成し、業務目的に合わせて必要に応じてカスタムまたはデフォルト、あるいはその両方の実装クラスの組合せを必要に応じて選択します。詳細は、Oracle Access Management開発者ガイドのインターネット・アイデンティティ・サービス・クライアントSDKを使用したアプリケーションの開発に関する項を参照してください。
アプリケーション・プロファイルでは、Mobile and Socialサーバー上のインターネット・アイデンティティ・プロバイダ・サービスを使用するアプリケーションを定義します。このパネルを使用して、モバイル・アプリケーション、Javaに準拠したアプリケーション・サーバーで実行されるWebアプリケーション、およびAccess Managerと統合されるWebアプリケーションが、インターネット・アイデンティティ・サービスを使用するように構成します。
WebアプリケーションがAccess Managerと統合されていない場合は、インターネット・アイデンティティ・サービスのログイン・ページをWebアプリケーションと統合します。詳細は、Oracle Access Management開発者ガイドの「インターネット・アイデンティティ・サービス・クライアントSDKを使用したアプリケーションの開発」の章を参照してください。
WebアプリケーションがAccess Managerに統合されている場合は、OAMApplicationという名前の事前構成済のアプリケーション・プロファイルを編集します。Oracle Access Managementのインストール時に、Access ManagerとMobile and Socialを同時にインストールすると、両方の製品が信頼されたパートナとして登録され、事前構成済のアプリケーション・プロファイルが含まれます。そのため、Access Managerとインターネット・アイデンティティ・サービスに統合されているWebアプリケーションを統合するために、コードを記述する必要はありません。Mobile and Socialに組み込まれているOAMApplicationアプリケーション・プロファイルは、Access Managerと連動するように事前構成済であり、わずかな構成変更を実行するだけで、使用している環境で動作するようになります。
通常、Access ManagerでWebゲートを構成すると、リソースおよびポリシーを含むアプリケーション・ドメインが作成されます。Mobile and Socialでは、OAMApplicationが、Access Managerのアプリケーション・ドメインに対応するアプリケーション・プロファイルです。そのため、10個のWebゲートをAccess Managerで定義し、それぞれが、ユーザー認証にMobile and Socialを使用する必要がある1つのアプリケーションを表している場合は、OAMApplicationをテンプレートとして使用してその10個のアプリケーション・ドメインに一致する名前を持つ10個の対応するアプリケーション・プロファイルを作成します。
|
注意: Access Managerでアプリケーションを保護するためにWebゲートをインストールすると、そのWebゲートのセットアップにより、認証メカニズムとしてLDAPを備えたアプリケーション・ドメインが自動的に作成されます。Mobile and Social認証を使用するには、認証スキームをOICSchemeに変更します。 |
この項では、アプリケーション・プロファイルの作成ウィザードおよびアプリケーション・プロファイルの編集ページのヘルプを提供します。
次の各項では、詳細を説明します。
Oracle Access Managementコンソールで、「インターネット・アイデンティティ・サービス」ホーム・ページを開きます(第39.1項「インターネット・アイデンティティ・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「アプリケーション・プロファイル」パネルで、「作成」をクリックします。
「新規アプリケーション・プロファイルの作成」構成ページが表示されます。
アプリケーション・プロファイルの一般プロパティに値を入力します。
名前 - Webアプリケーションまたはモバイル・アプリケーションのコンテキスト名を表示します。この名前は、リソースを保護しているエージェントに登録されている名前と一致する必要があります。アプリケーションがAccess Managerに統合されている場合は、Access Managerに定義されているアプリケーション・ドメイン名が表示されます。この値は、モバイル・サービスのアプリケーション・プロファイルで定義した名前の値と同じにする必要があります(該当する場合)。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
共有シークレット: モバイル・アプリケーションまたはWebアプリケーションの場合は、そのアプリケーションとMobile and Socialサーバーがセキュアな通信を容易にするために共有するセキュリティ・シークレットを指定します。Mobile and Socialのユーザー登録機能を使用するには、これが必要になります。任意の文字列にすることもできます。
戻りURL: アプリケーションがモバイル・アプリケーションの場合、この値は使用されません。ただし、これは必須の属性です。そのため、モバイル・アプリケーションには、「モバイル・アプリケーション戻りURL」を使用してください。Webアプリケーションには、認証レスポンスを送り返すためにMobile and Socialが使用する必要があるURLを入力します。アプリケーションがAccess Managerに統合されている場合は、次のURLを指定します。これは、Mobile and Socialが認証レスポンスを送り返すために使用するURLです。
http://oam-host:port/oam/server/dap/cred_submit
モバイル・アプリケーション戻りURL - モバイル・アプリケーションに対して、認証レスポンスを送り返すためにMobile and Socialが使用する必要があるURLを入力します。この値は、モバイル・アプリケーションの戻りURLに一致している必要があります。
次のアプリケーション・プロファイル構成のプロパティに値を入力します。
ログイン・タイプ: ユーザー・ログイン・ページで、ユーザーがローカルでの認証とアイデンティティ・プロバイダを使用する認証のどちらかを選択できるようにする場合は、「ローカル認証およびインターネット・アイデンティティ・プロバイダ認証」を選択します。ユーザー・ログイン・ページで、ユーザーがローカルでの認証のオプションを選択できないようにする場合は、「インターネット・アイデンティティ・プロバイダ認証のみ」を選択します。Mobile and Socialのログイン・ページは「インターネット・アイデンティティ・プロバイダ認証のみ」をサポートしますが、ローカル・ログインのサポートはありません。
ブラウザ・ポップアップの有効化 - ログイン・ページをボップアップ・ウィンドウで開くには、「はい」を選択します。これがモバイル・アプリケーションの場合は、この値は無効になります。
ユーザー登録 - ユーザーがインターネット・アイデンティティ・プロバイダで認証を受けた後にアプリケーションに登録できるようにする場合は、「有効」を選択します。アプリケーションのログイン・ページには、「ユーザー登録」フォームが表示され、ユーザーに登録を求めるようになります。ユーザーはそのフォームに入力して登録するか、「登録のスキップ」ボタンをクリックできます。ログイン・ページに「ユーザー登録」フォームを表示せず、ユーザーに登録を求めない場合は、「無効」を選択します。
登録URL - ユーザーがローカル・アカウントに登録できるようにユーザーを転送する先となるURLを入力します。通常、ユーザーは、アプリケーション・プロファイルで定義されている登録サービス属性に対応するフィールドがあるフォームに誘導されます。マップでは属性オブジェクトを含む暗号化トークンも、パラメータとしてクライアント・アプリケーションに渡されます。これらの属性は、ユーザーのプロファイル・データを登録ページに事前移入するために使用されます。
UserID属性 - ユーザーを一意に識別するために使用される属性名を入力します。この属性名は、「アプリケーション・プロファイル構成」ページの「アプリケーション・ユーザー属性」セクションにも表示されます。
ユーザー・プロファイル・サービス・エンドポイント - アプリケーションによって使用されるユーザー・プロファイル・サービス・エンドポイントを選択します。ユーザー・プロファイル・サービスによって、アプリケーションがLDAPディレクトリ・サービスに誘導され、そこで登録時にユーザーが作成されます。ユーザー・プロファイル・サービス・エンドポイントは、モバイル・サービスで構成されます。
認証サービス・エンドポイント: 認証サービス・エンドポイントにより、ローカル・ログインが要求されたときにユーザーを認証する方法が決定されます。モバイル・アプリケーションの場合は、InternetIdentityAuthentication、またはInternetIdentityAuthenticationタイプの任意のカスタム認証を選択します。
認証リクエストをAccess Managerに転送するには、「/oamauthentication」を選択します。IAMSuiteアプリケーション・ドメイン内のMobile and Social認証ポリシーと関連付けられた認証スキームにより、ユーザーの認証方法が決定されます。
対応するエンドポイントで指定されているアイデンティティ・ストアを使用するには、/internetidentityauthenticationを選択します。
アプリケーション・プロファイル・プロパティ - アプリケーション・プロファイル属性を表に追加するには、「追加」をクリックします。サポート対象は次のとおりです。
app.passwd.field - 登録ページ上のパスワードを暗号化します。値としてpasswordを追加します。登録ページでパスワードをアスタリスク(*)でマスクするには、app.passwd.fieldプロパティを追加し、その値としてpasswordを追加します。
oic.app.idp.oauth.token - Mobile and Socialに、アプリケーションへの最終リダイレクトの一部としてOAuthアクセス・トークンを含めるように指示します。値としてtrueを追加します。ユーザーがOAuthプロバイダ(Facebook、Twitter、LinkedIn)を選択した場合にのみ適用されます。
oic.app.user.token - ユーザーがアイデンティティ・プロバイダで認証を受けてアプリケーションにリダイレクトされるときにJWTユーザー・トークンを作成します。値としてtrueを追加します。このトークンには、アイデンティティ・プロバイダ関連のURIと、アイデンティティ・プロバイダに記録されているユーザー識別子の値が含まれています。このトークンを使用して、ユーザー・プロファイルRESTサービスなど、他の保護されているMobile and Social RESTサービスにアクセスします。
「追加」をクリックして、インターネット・アイデンティティ・プロバイダが認証後にアプリケーションに返す、アプリケーション・ユーザー属性を追加します。
これらの属性の詳細は、次の「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」の手順で構成します。
「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」表に行を追加して、インターネット・アイデンティティ・プロバイダが提供するアプリケーション属性に、ローカル(ユーザー)登録属性をマップします。
追加のアプリケーション・ユーザー属性については、前の手順で先に追加しておきます。次の各定義は、「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」表のプロパティに適用されます。
登録サービス属性 - このメニューから、構成する登録サービス属性を選択します。
ユーザー属性表示名 - 「登録サービス属性」列の属性に対して、ユーザー登録フォームに表示する名前を入力します。これが、ユーザーに表示される属性名です。
読取り専用 - ユーザーによる属性値の更新を防止する場合に選択します。属性値はフォーム上でグレー表示されるようになり、ユーザーによる更新はブロックされるようになります。
|
注意: Yahooがインターネット・アイデンティティ・プロバイダである場合は、「名」および「姓」に対して「読取り専用」オプションを選択しないでください。Yahooでは、これらの属性の値は返されません。「読取り専用」オプションを選択すると、ユーザー登録に失敗し、例外エラーが表示されるようになります。 |
必須 - この属性をユーザー登録フォームの必須項目にする場合に選択します。
アプリケーション・ユーザー属性 - 「登録サービス属性」列の属性に対応する属性を選択します。
「次へ」をクリックして、サービス・プロバイダ・インタフェースを構成します。
「サービス・プロバイダ・インタフェース」ページが表示されます。
ドロップダウン・メニューから「DefaultServiceProviderInterface」を選択します。
サービス・プロバイダ・インタフェースの詳細は、第39.4項「サービス・プロバイダ・インタフェースの定義」を参照してください。
「次へ」をクリックして、インターネット・アイデンティティ・プロバイダを構成します。
「インターネット・アイデンティティ・プロバイダ」ページが表示されます。このセクションを使用して、1つ以上のインターネット・アイデンティティ・プロバイダを選択して、ローカル・アプリケーション・ユーザーの属性をインターネット・アイデンティティ・プロバイダの属性にマップします。たとえば、インターネット・アイデンティティ・プロバイダがGoogleの場合、一意のローカル・ユーザー識別子として電子メール・アドレスを使用するには、次の手順を実行します。
「インターネット・アイデンティティ・プロバイダ」列でGoogleを選択します。
2列の表が開きます。
次のようにマッピングを作成します。
「アプリケーション・ユーザー属性」列の最初の行で「uid」を選択します。
「インターネット・アイデンティティ・プロバイダ・ユーザー属性」列で「電子メール」を選択します。
「終了」をクリックして、アプリケーション・プロファイルを作成します。
アプリケーション・プロファイルを編集または削除するには、パネルでプロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。属性の説明は、第39.5.1項「アプリケーション・プロファイル」を参照してください。
モバイル・デバイス上のアプリケーションがインターネット・アイデンティティ・サービスを使用して認証を受けられるように、モバイル・サービスを構成できます。インターネット・アイデンティティ・サービスを使用する必要のあるアプリケーションは、それに対応するアプリケーション・プロファイルがインターネット・アイデンティティ・サービスに存在している必要があります。モバイル・アプリケーションにインターネット・アイデンティティ・サービスを使用する必要がある場合、そのアプリケーションのプロファイルが、インターネット・アイデンティティ・サービスとモバイル・サービスにプロファイルに存在している必要があります。
「インターネット・アイデンティティ・サービス」の下で、アプリケーション・プロファイルの作成ウィザードを開きます。
保護するモバイル・アプリケーションに該当する値を、アプリケーション・プロファイルの属性に入力して、「次へ」をクリックします。
属性の定義は、第39.5.1項「アプリケーション・プロファイルの作成」を参照してください。
サービス・プロバイダ・インターフェイスを選択して、「次へ」をクリックします。
第39.4項「サービス・プロバイダ・インターフェイスの定義」を参照してください。
インターネット・アイデンティティ・プロバイダを選択して、「次へ」をクリックします。
第39.2項「インターネット・アイデンティティ・サービスの構成の理解」を参照してください。
「アプリケーション・プロファイル」の概要を確認してから、「終了」をクリックしてアプリケーション・プロファイルを作成します。
「モバイル・サービス」の下で、「サービス・ドメインの作成」ウィザードを開きます。
既存のサービス・ドメインを変更する場合は、それを開いて編集します。詳細は、第38.4項「サービス・プロファイルの定義」を参照してください。
フォームに次のように入力します。
「タイプ」については、「モバイル・アプリケーション」を選択します。
「認証スキーム」については、「インターネット・アイデンティティ認証」を選択します。
詳細は、第38.7項「サービス・ドメインの定義」を参照してください。
「アプリケーション・プロファイル選択」セクションで、保護するモバイル・アプリケーションを示すモバイル・サービスのアプリケーション・プロファイルを追加し、モバイルSSOに、エージェントとして参加するのか、クライアントとして参加するのか、それとも参加しないのかを選択します。
既存のプロファイルを参照するか、名前を入力して、該当するアプリケーション・プロファイルを選択します。アプリケーション・プロファイルは、先に作成しておく必要があります。(モバイル・サービスのアプリケーション・プロファイルを作成する場合は、第38.6項「アプリケーション・プロファイルの定義」を参照してください。インターネット・アイデンティティ・サービスのアプリケーション・プロファイルを作成する場合は、第39.5項「アプリケーション・プロファイルの定義」を参照してください。)
「次へ」をクリックして、サービス・プロファイルを選択(または作成)します。
第38.4項「サービス・プロファイルの定義」を参照してください。
「次へ」をクリックして、サービス保護を選択します。
たとえば、ユーザー・プロファイル・サービスを保護する場合は、認証サービスとしてInternetIdentityAuthenticationを使用します。
「次へ」をクリックして、「サービス・ドメインの作成」の概要を確認します。
「終了」をクリックして、サービス・ドメインを作成します。
|
注意: 詳細は、Oracle Access Management開発者ガイドの「インターネット・アイデンティティ・サービス・クライアントSDKを使用したアプリケーションの開発」のインターネット・アイデンティティ・サービスとモバイル・アプリケーションとの統合に関する項を参照してください。 |
