この章では、コンソール方式またはリモート登録コマンドライン・ユーティリティを使用して、11g Webgate(およびプログラム的に同じものであるアクセス・クライアント)を登録および管理する方法について説明します。登録時には、Access Managerで保護する特定のアプリケーションを指定できます。
この章の内容は次のとおりです。
この章のタスクを実行する前に、Oracle Access Managementコンソールのホスト(AdminServer)と管理対象OAMサーバーが実行中であることを確認してください。
関連項目: それぞれの環境の必要に応じて、次の項目を参照してください。 |
この項では、OAMエージェントの登録パラメータについて説明します。特に明記しないかぎり、ここに示す情報は、11gと10gのWebgate(プログラムのアクセス・クライアントを含む)に同様に適用されます。内容は次のとおりです。
OAM ... Webゲートの作成
ページでは、簡潔に登録できるように最小限の情報が要求されます。アスタリスク(*)は必須の詳細です。11g Webgateまたは10g Webgateのどちらを登録する場合でも、要求される最初の情報は同じです。
表13-1は、11g Webgate(またはアクセス・クライアント)の作成ページについて示しています。特に明記しないかぎり、すべての要素が11gおよび10gエージェントの両方に適用されます。
表13-1 11gおよび10g OAMエージェントの作成ページの要素
OAM Webゲートの要素 | 説明 |
---|---|
名前 |
このエージェント登録を一意に識別できる名前。ほとんどの場合、Webgateに使用されるWebサーバーをホストするコンピュータ名です。 各エージェント登録を一意に識別する名前がお薦めされます。ただし、次のことに注意してください。
|
ベースURL オプション |
WebgateのWebサーバーがインストールされるコンピュータのホストおよびポート。たとえば、http://example_host:portまたはhttps://example_host:portになります。ポート番号はオプションです。 注意: 特定のベースURLは、一度のみ登録できます。このベースURLからWebgateがインストールされているWebサーバー・ドメイン(ホスト識別子要素で指定)へのマッピングは、1対1です。ただし、1つのドメインが複数のベースURLを持つことができます。 |
アクセス・クライアント・パスワード オプション |
このWebgateのオプションかつ一意のパスワードで、この登録プロセス中に割り当てられています。 登録されたWebgateがOAMサーバーに接続するときは、認可されていないWebgateがOAMサーバーに接続してポリシー情報を取得しないように、認証にこのパスワードが使用されます。 |
エージェントおよびOAMサーバー間の通信トランスポート・セキュリティのレベル(OAMサーバーに指定されたレベルと一致する必要があります)
注意: 簡易モードと証明書モード、秘密鍵の暗号化の詳細は、付録Cを参照してください。 |
|
ホスト識別子 |
この識別子は、Webサーバー・ホストを表します。ここにはエージェントの「名前」フィールドの値が自動的に入力されます。 注意: 次に示すように、同じアプリケーション・ドメインとポリシーを使用する1つのホスト識別子の下に、複数のOAM Webgate(またはアクセス・クライアント)を登録できます。
関連項目: 「仮想Webホスティングについて」 |
ユーザー定義パラメータ |
特定のWebgateの動作を有効にするために入力できるパラメータ。 |
仮想ホスト |
複数のWebサイトとドメイン名を含むWebサーバー上にWebgateをインストールした場合は、「仮想ホスト」の横にあるボックスを選択します。Webgateは、サーバー上のすべてのWebサイトを保護できる場所にインストールする必要があります。 関連項目: 「仮想Webホスティングについて」 |
ポリシーの自動作成 |
エージェントの登録中、自動的に作成された認証および認可ポリシーを使用できます。デフォルトで、このオプションが選択(有効化)されます。 デフォルト: 有効 登録およびポリシーの共有: 別々のWebサーバーにインストールされた複数のWebgate(またはアクセス・クライアント)は、同じリソースを保護するために1つの登録およびポリシーを共有することができます。この設定は、高可用性フェイルオーバー環境で役立ちます。手順は次のとおりです。
2つ目のエージェントの登録後、どちらのWebgateも同じホスト識別子とポリシーを使用します。 |
IPの検証 |
「IPの検証」の横にあるボックスを選択し、クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。「IPの検証例外」ボックスに、検証から除外するIPアドレスを標準的なアドレス表記(例: 10.20.30.123)で入力します。 これを有効にした場合は、ObSSOCookieに格納されているIPアドレスがクライアントのIPアドレスに一致する必要があります。一致しない場合はCookieが拒否され、ユーザーは再認証が必要になります。 デフォルト: 無効 関連項目: 「Webgate用IPアドレスの検証について」 |
エージェント・キー・パスワード |
このパスフレーズは、証明書モードの通信でのみ要求され、簡易モードと証明書モードでWebgateとOAMサーバーとの間のSSL通信に使用する秘密鍵を暗号化する際に使用されます。 注意: 「エージェント・キー・パスワード」は、この表で既出の「アクセス・クライアント・パスワード」とは関係ありません。 簡易モード: このモードの場合、エージェント・キー・パスワードはグローバル・パスフレーズであり、クライアントとサーバーの両方で同じであることが必要です。OAMサーバーをこの構成にすると、エージェント登録の際にパスワードを取得できます。ただし管理者は、エージェント登録の際に生成されるpassword.xmlファイルをクライアント側にコピーする必要があります。 証明書モード:: このモードの場合、エージェント・キーはグローバルではないため、クライアントとサーバーで同じである必要はありません。管理者は、エージェント登録時のpassword.xmlファイルの生成を有効にし、password.xmlファイルがエージェント側にコピーされるように、エージェント・キー・パスワードを入力する必要があります。証明書を生成するには、
詳細は、付録Cを参照してください。 |
リソース・リスト |
|
保護されているリソース(URI)リスト |
保護されているアプリケーションのURI: / デフォルト: /** デフォルトは、複数のディレクトリにまたがるゼロまたは複数の中間レベル内にある任意の文字シーケンスに一致します。 リソースの追加: 各URIは、保護されているリソース・リストの表の新しい行で指定する必要があります。「+」ボタンをクリックして、保護されているリソース・リストにリソースを追加します。たとえば、 /financialから生成されるリソースURL /financial/** /myfinancialから生成されるリソースURL /myfinancial/** /** 関連項目: 「リソースのURL、接頭辞、パターンについて」. |
パブリック・リソース(URI)リスト |
それぞれのパブリック・アプリケーションは、パブリック・リソース・リストの表の新しい行で指定する必要があります。 リソースの追加: 各URIは、パブリック・リソース・リストの表の新しい行で指定する必要があります。「+」ボタンをクリックして、パブリック・リソース・リストにリソースを追加します。たとえば、 /people 関連項目: 「リソースのURL、接頭辞、パターンについて」. |
関連項目: |
表13-3「拡張された11gおよび10g Webgate/アクセス・クライアント登録ページの要素」 |
Webgate登録を合理化するために、作成操作の実行時に一部の要素は非表示になり、デフォルト値が適用されます。
注意: Oracle Access Managementコンソールを使用して変更された内容は、アプリケーション・サーバーの再起動なしで反映されます。変更内容は、再構成タイムアウト期間後に、自動的に反映されます。 |
サポートされる一部のパラメータは、Webgateの登録ページで直接入力するか、OAMエージェントのリモート登録リクエスト・テンプレートに入力することで、ユーザー定義にできます。表13-2に、サポートされるユーザー定義パラメータを示します。各パラメータに指定できる値は1つのみです。
表13-2 ユーザー定義のWebgateパラメータ
IPアドレス検証はWebgate固有です。クライアントのIPアドレスが、シングル・サインオン用に生成されたCookieに格納されているIPアドレスと同じであるかどうかを確認します。IPValidationパラメータは、IPアドレスの検証のオンとオフを切り替えます。IPValidation
がtrue
の場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookie (表1-3)が拒否されるため、ユーザーは再認証が必要になります。デフォルトでは、IPValidation
はtrue
です。
「IPValidation」パラメータは、一部のWebアプリケーションで問題の原因となる場合があります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。これは、Cookieを使用したシングル・サインオンの妨げになります。
「IPValidation」パラメータは、一部のWebアプリケーションで問題の原因となる場合があります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。これは、Cookieを使用したシングル・サインオンの妨げになります。
注意:
|
「IPValidation」
がtrue
の場合は、IPアドレスを「IPValidationException」
リストと比較できます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。これらのアドレスは、クライアントの実際のIPアドレスであり、SSO Cookieに格納されたIPアドレスではありません。Cookieが例外IPアドレスのいずれかから発行されたものである場合、Access ManagerはSSO Cookieに格納されているアドレスの検証を省略します。たとえば、CookieのIPアドレスがリバース・プロキシ用のアドレスである場合に、「IPValidationException」パラメータのIPアドレスを使用できます。
Webgateと認証時にクライアントIPアドレスを持たないアクセス・クライアントの間のシングル・サインオンを構成する場合は、IP検証オプションを明示的に無効にできます(「IPValidation」をfalseに設定します)。「IPValidation」パラメータをfalseに設定すると、ブラウザまたはクライアントのIPアドレスは、SSO Cookieの構成要素として使用されなくなります。ただし、IP検証は、可能なかぎり有効にしておくことをお薦めします。
この手順は、Webゲートまたはプログラム・アクセス・クライアントのどちらにも使用できます。登録手順は同じです。OAMタイプ・エージェントは、デプロイする前に登録できます。有効な管理者の資格証明を持つユーザーは、次のタスクを実行することにより、Oracle Access ManagementコンソールでWebゲートを登録できます。
関連項目:
|
エージェント登録の後に、必要があればOAMサーバーの通信モードを変更できます。エージェントとサーバー間の通信は、Webゲート・モードが少なくともOAMサーバー・モードと同じレベル以上のときに動作を継続します。付録Cを参照してください。
前提条件
少なくとも1つのOAMサーバーが、登録するエージェントと同じモードで実行中であることを確認してください。
OAMエージェントを登録するには
Oracle Access Managementコンソールの「ようこそ」ページの「SSOエージェント」パネルで次のいずれかをクリックして、新しいページを開きます。
新規OAM 11gエージェント
新規OAM 10gエージェント(第22章も参照)
または、「システム構成」タブの「Access Manager」セクションで「SSOエージェント」ノード、「OAMエージェント」ノードを開き、右上隅のどちらかの... Webゲートの作成ボタンをクリックします。
OAM ... Webゲートの作成ページで、必須項目(*がついている項目)を入力して、このエージェントを登録します。
保護されているリソース・リスト: この表では、表13-1で説明しているように、このエージェントで保護する個々のリソースのURLを入力します。
パブリック・リソース・リスト: この表では、表13-1にあるように、パブリックにする(保護しない)個々のリソースのURLを入力します。
ポリシーの自動作成: 選択すると、新しいアプリケーション・ドメインおよびポリシーが作成されます(または選択を解除すると、別のWebゲートと同じホスト識別子を使用して、ポリシーを共有します(表13-1))。
「適用」をクリックして登録を送信します(または変更を適用しないでページを閉じます)。
10g Webgate: 第22章を参照して、次を実行します。
プロビジョニングの結果作成されるObaccessclient.xmlファイルは、ここでは無視します。
アプリケーション・ドメインにリソースを追加します。
それぞれの環境に応じて次の手順を実行します(第22章)。
既存のWebゲート: 第19章「11g Webgateが関与するセッションの集中ログアウトの構成」に進みます。
新規Webゲートの場合: 「Access Manager 11g用の最新の10g Webgateの検索とインストール」に進みます。
置換する場合: 「IAMSuiteAgentの10g Webgateへの置換」に進みます。
次のように、簡易モード・ファイルまたは証明書モード・ファイルを含むアーティファクトをコピー(または同じ仕様でWebゲートをインストールしてからアーティファクトをコピー)します。たとえば、オープン・モード・ファイルには、次が含まれます。
エージェントおよびアーティファクト | アーティファクト | |
---|---|---|
11g Webgate/アクセス・クライアントの場合: ObAccessClient.xmlとcwallet.sso |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先: エージェント・ホストの$11gWG_install_dir/webgate/config。 |
|
10g Webgate/アクセス・クライアントの場合: ObAccessClient.xml 注意: このタスクを実行する前に第22章を参照してください。 |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先: エージェント・ホスト $10gWG_install_dir/oblix/lib/ |
登録の検証: 次の手順は、「Oracle Access Managementコンソールによるエージェント登録の検証」の手順に似ています。
ナビゲーション・ツリーでエージェント名がリストされていることを確認し、必要な場合はナビゲーション・ツリーのツールバーで「リセット」ボタンをクリックします。
登録ページの情報が適切であることを確認します。
ポリシーの自動作成: アプリケーション・ドメインが生成されたことと、アプリケーションのホスト識別子が作成されたことを確認します。さらに、アプリケーション・ドメインにリソースが作成されてホスト識別子に関連付けられたことを確認します。
「リモート登録後の認証およびアクセスの検証」の説明に従って、詳細なテストを実行します。
デプロイメントのニーズに合せて次の手順に進みます。
この項では、登録済のWebゲートの管理に役立つ次の内容について説明します。
Oracle Access Managementコンソールとリモート登録ユーティリティのどちらを使用してエージェントを登録していても、図13-2に示すように、コンソールで完全なエージェントの構成ページを表示できます。
11gと10gのWebgate登録ページ間には、少しだけ相違点があります。
注意: エージェントのページにある要素のほとんどは、拡張されたOAMテンプレートでリモート登録ツールを使用して定義する要素と同じです。使用する方法に関係なく、ObAccessClient.xmlにはエージェントの登録または変更後に値が入力されます。 |
表13-3は、展開された登録の要素を示しています。ここに表示された追加設定は、OAMプロキシにより使用されます。
表13-3 拡張された11gおよび10g Webgate/アクセス・クライアント登録ページの要素
要素 | 説明 |
---|---|
名前 ユーザー定義パラメータ IPの検証 |
関連項目: 表13-1「11gおよび10g OAMエージェントの作成ページの要素」。 関連項目: 「ユーザー定義のWebgateパラメータについて」 関連項目: 「Webgate用IPアドレスの検証について」 |
10g Webgateのみ、第22章 |
このパラメータは、エージェントがデプロイされるWebサーバー・ドメインを記述します。たとえば、example.comなどです。 Cookieドメインを構成して、Webサーバー間のシングル・サインオンを有効にする必要があります。具体的には、シングル・サインオンを構成するWebサーバーに同じプライマリCookieドメイン値を使用する必要があります。Webgateは、ObSSOCookie認証cookieを作成するためにこのパラメータを使用します。 このパラメータは、Cookieドメインに参加してObSSOCookieを受信および更新する機能を持つWebサーバーを定義します。このCookieドメインはObSSOCookieの移入に使用されず、ObSSOCookieの有効なドメインおよびObSSOCookieの内容を承認および変更する機能を持つWebサーバーを定義します。 デフォルト: 登録中にクライアント側のドメインを決定できる場合、プライマリCookieドメインがその値で移入されます。ただし、ドメインが見つからない場合、値が存在しないのでWebgateはホストベースのCookieを使用します。 注意: ドメイン名が一般的なほど、シングル・サインオンの実装が包括的になります。たとえば、プライマリCookieドメインにb.comを指定すると、ユーザーはb.comおよびa.b.comのリソースのシングル・サインオンを実行できます。ただし、プライマリCookieドメインにa.b.comを指定すると、ユーザーはb.comのリソースのリクエスト時に再認証を行う必要があります。 |
コンソールのみ |
この登録が有効か無効かを指定します。 デフォルト = 有効 |
キャッシュに保持される要素の数。キャッシュは次のとおりです。
この設定の値は、これらのキャッシュの要素の最大合計カウントを参照します。 デフォルト = 100000 |
|
キャッシュされた情報が使用も参照もされないとき、Webgateのキャッシュ(認証スキームに対するリソース、認証スキーム、11g Webgateのみの認可ポリシーに対するリソース)にその情報が残る時間。 デフォルト = 1800(秒) |
|
11g Webgateのみ |
エージェント・トークン(11g WebgateのOAMAuthnCookieの内容)の有効な最大時間。 デフォルト = 3600(秒) 注意: 10g Webgateの場合、「トークンの有効期間」を設定するには、「Cookieセッション時間」を使用してください。 |
このWebgateとOAMサーバーで確立できる接続の最大数。この数値は、このエージェントに実際に関連付けられる接続の数以上にする必要があります。 デフォルト = 1 |
|
アクティビティに関係なくユーザーの認証セッションが有効な秒単位の最大時間。このセッション時間の終了時に、ユーザーは再認証を要求されます。これは強制ログアウトになります。 デフォルト = 24(時間) 0(ゼロ)を指定すると、このタイムアウト設定が無効になります。 |
|
このWebgateがセカンダリOAMサーバーの接続を開くポイントを表す数値。 デフォルト = 1 たとえば、このフィールドに30と入力して、プライマリOAMサーバーへの接続数が29の場合、このエージェントはセカンダリOAMサーバーへの接続を開きます。 |
|
OAMサーバーからのレスポンスを待機する数値(秒単位)。このパラメータが設定されると、デフォルトのTCP/IPタイムアウトではなくアプリケーションのTCP/IPタイムアウトとして使用されます。 デフォルト = -1(デフォルトのネットワークのTCP/IPタイムアウトが使用されます) このパラメータの一般的な値は、30から60秒です。非常に小さい値に設定すると、OAMサーバーからレスポンスを受信する前にソケット接続がクローズし、エラーが生じる可能性があります。 たとえば、Webgateが1つのプライマリOAMサーバーと1つのセカンダリOAMサーバーに通信するように構成されているとします。ネットワークのワイヤーがプライマリOAMサーバーから引き抜かれた場合、WebgateはプライマリOAMサーバーへの接続がないことを知るために、TCP/IPタイムアウトの間だけ待ちます。Webgateは、プライマリOAMサーバーから順に、使用可能なサーバーに対して接続の再確立を試行します。このときも、接続が確立可能かどうかを判断するために、エージェントはTCP/IPタイムアウトの間だけ待機します。確立できない場合は、リストの次のサーバーが試されます。別のOAMサーバー(プライマリまたはセカンダリ)への接続が確立できる場合、リクエストは再ルーティングされます。ただし、これは予想以上に長くかかることがあります。 Webgateは、新しい接続を検索するときには、使用可能なサーバーのリストを、その構成で指定した順序でチェックします。プライマリOAMサーバーが1つとセカンダリOAMサーバーが1つずつ指定されていて、プライマリOAMサーバーの接続がタイムアウトした場合、エージェントはまだプライマリOAMサーバーを先に試します。結果的に、エージェントはOAMサーバー・タイムアウトのしきい値設定の2倍を超える期間だけ、リクエストをOAMサーバーに送信できません。 OAMサーバーがリクエストにサービスを提供するのに、タイムアウトのしきい値よりも長い時間がかかる場合、エージェントはリクエストを放棄して、新しい接続でそのリクエストをやり直します。接続プール設定によっては、接続プールから戻される新しい接続が同じOAMサーバーの接続になる場合があります。また、しきい値で指定された時間よりも、他のOAMサーバーがリクエストの処理に時間がかかることもあります。この場合、エージェントはOAMサーバーが停止するまで、リクエストを引き続き再試行できます。 |
|
アイドル・セッション・タイムアウト 10g Webgateのみ、第22章 |
デフォルト: 3600 リリース7.0.4のWebgateは、独自のアイドル・セッション・タイムアウトのみを強制していました。 10.1.4.0.1 Webgateは、トークンが訪問したすべてのWebgateの中で、最も制限の多いタイムアウト値を強制しました。 10g(10.1.4.3)では、この要素のデフォルトが7.0.4の動作に戻りました。 アイドル・セッション・タイムアウトのロジックを設定する方法:
|
優先ホスト |
ユーザーが保護されたWebサーバーにアクセスしようとしたときに、すべてのHTTPリクエストでホスト名がどう表示されるかを指定します。HTTPリクエスト内のホスト名は、ユーザーのHTTPリクエストでどのように定義されたかに関係なく、このフィールドに入力された値に変換されます。 優先ホストの機能によって、ホストの識別子がホスト識別子リストに含まれていない場合に間違って作成される可能性があるセキュリティ・ホールを防止します。ただし、仮想Webホスティングでは使用できません。仮想ホスティングの場合、ホスト識別子の機能を使用する必要があります。 デフォルトは(Webgate登録の)名前です。 |
ユーザー定義パラメータ |
関連項目: 「ユーザー定義のWebgateパラメータについて」および『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』 |
ログアウトURL 10g Webgateおよび11g Webgate |
ログアウトURLはログアウト・ハンドラをトリガーします。ログアウト・ハンドラはCookieを削除し(10g WebgateではObSSOCookie、11g WebgateではOAMAuthnCookie)、Access Managerに保護されたリソースにユーザーが再アクセスしたときに改めて認証を要求します。 Default = [](未設定) 注意: これは、カスタマイズしたローカル・ログアウト・ページから初期ログアウトをトリガーするために使用する、標準の10g Webgate構成パラメータです。これについては、「11g OAMサーバー使用時の10g Webgateの集中ログアウト構成」の説明を参照してください。 |
11g Webgateのみのその他のログアウト |
11g Webgateのシングル・サインオフの動作については、特定のログアウト要素と値によって、集中ログアウトURL、コールバックURLおよびend_URLへのリダイレクトが自動化されます。 |
ログアウト・コールバックURL 11g Webgateのみ |
コールバック時にCookieを削除する デフォルト = /oam_logout_success これはhost:portのある完全なURLフォーマットとすることもでき、この場合OAMサーバーは、コールバックURLを再構築することなく直接コールバックします。 注意: リモート登録テンプレートでは、このパラメータの名前はlogoutCallbackUrlです(表13-10)。 |
ログアウト・リダイレクトURL 11g Webgateのみ |
このパラメータはエージェントの登録完了後に自動的に格納されます。デフォルトでは、これはデフォルト・ポートが14200のOAMサーバー・ホスト名に基づいて決定されます。次に例を示します。 デフォルト = http://OAMServer_host:14200/oam/server/logout |
ログアウト・ターゲットURL 11g Webgateのみ |
この値は、ログアウト中にOPSSアプリケーションがWebgateに渡す問合せパラメータの名称です。問合せパラメータは、ログアウト完了後に移動するページのターゲットURLを指定します。 デフォルト: end_url 注意: end_url値は、jps-config.xmlのparam.logout.targeturlを使用して構成されます。 |
スリープ時間(秒) |
OAMサーバーでディレクトリ・サーバーとの接続を確認する頻度(秒)。たとえば、この値を60秒に設定した場合、OAMサーバーは起動した時点から60秒ごとにその接続をチェックします。 デフォルト: 60(秒) |
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー Webgateのみ(アクセス・クライアントを除く) |
この設定は、Webgateのみに適用して、ブラウザのキャッシュを制御します。 デフォルトでは、どちらのパラメータもキャッシュなしに設定されます。これにより、WebgateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 ただし、サイトがWebgateで保護されている場合、これはPDFファイルのダウンロードやレポート・ファイルの保存など、特定の操作にとって妨げとなることがあります。 Webgateが異なるレベルで使用するAccess Manager SDKキャッシュを設定できます。詳細は、http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlの14.9項を参照してください。 すべてのcache-response-directiveが許可されます。たとえば、両方のキャッシュ値をパブリックに設定してPDFファイルのダウンロードを許可する必要がある場合があります。 デフォルト: キャッシュなし 関連項目: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』 |
デバッグ |
デバッグは有効または無効にすることができます。 |
保護されていない場合に拒否 Webgateのみ(アクセス・クライアントを除く) |
「保護されていない場合に拒否」は有効にすることをお薦めします。 この要素を有効にすると、ルールまたはポリシーでアクセスが明示的に許可されていないすべてのリソースへのアクセスが拒否されます。WebゲートがOAMサーバーに問い合せる回数を制限できるため、大規模またはアクセスの多いアプリケーション・ドメインのパフォーマンスを向上できます。
重要: 「保護されていない場合に拒否」は、「ホスト識別子」および「優先ホスト」をオーバーライドします。「保護されていない場合に拒否」は有効にすることをお薦めします。有効にしない場合、複数のホスト識別子、仮想ホストおよびその他の複雑な構成を持つ大規模なインストールで、セキュリティ・ホールが発生する可能性があります。 |
管理操作の許可 |
このエージェント権限機能で、次のようなエージェントごとのセッション操作のプロビジョニングを有効にできます。
デフォルト: 無効 注意: セッション管理の操作は、権限のあるエージェントのみが起動できます。このパラメータを有効にすると、セッション管理のリクエスト(上のリスト)がOAMサーバーによって処理されます。無効にすると、エージェントに対してこのリクエストは拒否されます。 |
11g Webgateのみ |
|
資格証明コレクタ操作の許可 11.1.2以降のWebゲートのみ |
シンプル・フォーム認証または動的な複数要因による認証のために、Webgateのデタッチされた資格証明コレクタ機能を有効にします。 デフォルト: 無効 |
Sharepoint偽装ユーザー 10g Webgateのみ、第22章 |
Active Directoryでの、偽装用の信頼できるユーザー。このユーザーは偽装以外の目的では使用できません。制約は、Active Directory内の他のユーザーと同じです。 注意: SharePoint偽装は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』で説明するように、Access Managerユーザー偽装とはまったく異なります。 |
Sharepoint偽装パスワード 10g Webgateのみ、第22章 |
偽装用の信頼できるユーザー・パスワード。制約は、Active Directory内の他のユーザー・パスワードと同じです。 信頼できるユーザーには強力な権限が付与されるので、非常に複雑なパスワードを選択することをお薦めします。さらに、 |
プライマリ・サーバー・リスト |
このエージェントのプライマリ・サーバー・リストを識別します。デフォルトは、OAMサーバーに基づきます。
|
セカンダリ・サーバー・リスト |
このエージェントのセカンダリOAMサーバーの詳細を識別します。手動で指定する必要があります。
|
図13-3に、Webゲートの「検索」コントロール(デフォルト)と、空の「検索結果」表を示します。このページでは、新しい11g Webgate登録または10g Webgate登録を作成したり、特定のWebgateまたはWebgateのグループ(たとえば、すべての11g Webgate)を検索したりできます。
正確な名前がわからない場合には、検索文字列にワイルドカード(*)を使用できます。「検索結果」表で名前を選択すると、登録ページが開いて表示または編集が可能になります。
このページで使用できるコントロールは、表13-4のとおりです。
表13-4 OAMエージェントの「検索」コントロール
コントロール | 説明 |
---|---|
11g Webゲートの作成 |
クリックすると、新規11g Webゲートの登録ページが開きます。 |
10g Webゲートの作成 |
クリックすると、新規10g Webgateの登録ページが開きます。第22章「Access Manager 11gを使用する10g Webgateの登録および管理」を参照してください。 |
名前 |
登録ページで定義されているとおりの名前(または名前の一部とワイルドカード(*))を入力します。たとえば「a*」と入力すると、結果表で「Agent_WebGate_AccessDebugNew」が返されます。 |
バージョン |
Webゲートのバージョンを選択して、検索と結果を絞り込みます。
|
優先ホスト |
HTTPリクエストで使用されるとおりのホスト名の全体(または一部とワイルドカード(*))を入力します。たとえば「iam*」と入力すると、結果表で「IAMSuiteAgent」が返されます。 |
状態 |
Webゲートの状態を選択して、検索結果を絞り込みます。
|
プライマリ・サーバー |
プライマリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
セカンダリ・サーバー |
セカンダリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
前提条件
OAMエージェントは、Access Managerの登録済エージェントであることが必要です。
OAMエージェント登録を検索するには
「システム構成」タブで、「Access Manager」セクションに進みます。
「SSOエージェント」ノードを展開し、「OAMエージェント」ノードをダブルクリックします。
検索対象に応じた手順を実行します。
有効なすべて: 「バージョン」で「すべて」、「状態」で「すべて」を選択し、「検索」ボタンをクリックします。
エージェント・バージョン: 「エージェントのバージョン」リストで10gまたは11gを選択し、「検索」ボタンをクリックします。
エージェント名: 検索するインスタンスの正確な名前をテキスト・フィールドに入力し、「検索」ボタンをクリックします。次に例を示します。
my_OAM_Agent
「検索結果」タブをクリックして結果表を表示し、次の操作を実行します。
編集または表示: ツール・バーの「編集」コマンド・ボタンをクリックして、構成ページを表示します。
削除: 「コンソールを使用したOAMエージェント登録の削除」に進みます。
連結解除: ツール・バーの連結解除をクリックして、ページ全体に表を拡張します。
表の再構成: 「表示」メニュー項目を選択して、結果表の表示を変更します。
完了したら変更を適用します(またはページを閉じます)。
この手順は、Webゲートとアクセス・クライアント登録のどちらを編集する場合でも同じです。有効な管理者の資格証明を持つユーザーは、次の手順で説明するとおり、Oracle Access Managementコンソールを使用して、登録済のWebゲートおよびプログラム・アクセス・クライアントのあらゆる設定を変更できます。たとえば、タイムアウトのしきい値やOAMプロキシで使用される他の設定を変更する場合などです。
変更後は、更新された詳細はランタイムの構成更新プロセスによって伝播されます。通常は、アーティファクトをWebゲートの構成領域にコピーする必要はありません。
注意: Oracle Access Managementコンソールを使用して変更された内容は、アプリケーション・サーバーの再起動なしで反映されます。変更内容は、再構成タイムアウト期間後に、自動的に反映されます。 また、次の点にも注意が必要です。 アーティファクトは、エージェント名やアクセス・クライアントのパスワード、セキュリティ・モードが変更になった場合にのみ、Webゲートのディレクトリ・パスにコピーする必要があります。 |
注意: アーティファクトは、エージェント名やアクセス・クライアントのパスワード、セキュリティ・モードが変更になった場合にのみ、Webゲートのディレクトリ・パスにコピーする必要があります。 |
前提条件
エージェントがOracle Access Managementコンソールに登録されて、使用可能であることが必要です。
登録済OAMエージェントの詳細を表示または変更するには
「システム構成」タブの「Access Manager」セクションから、「SSOエージェント」ノードを展開します。
「OAMエージェント」ノードをダブルクリックして、「検索」ページを表示します。
登録を検索: 「OAMエージェント登録の検索」を参照してください。
結果表でエージェント名をクリックし、ページを開きます。
必要に応じて、エージェントの詳細とプライマリ・サーバーまたはセカンダリ・サーバーの詳細を変更します(表13-1、表13-3)。
ユーザー定義パラメータ: 必要に応じて追加または変更します(表13-2)。
「適用」をクリックして変更を送信し、「確認」ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
次のように、簡易モード・ファイルまたは証明書モード・ファイルを含むアーティファクトをコピー(または同じ仕様でWebゲートをインストールしてからアーティファクトをコピー)します。たとえば、オープン・モード・ファイルには、次が含まれます。
エージェントおよびアーティファクト | アーティファクト | |
---|---|---|
11g Webgate/アクセス・クライアントの場合: ObAccessClient.xmlとcwallet.sso |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先のエージェント・ホスト: $11gWG_install_dir/webgate/config。 |
|
10g Webgate/アクセス・クライアントの場合: ObAccessClient.xml 注意: このタスクを実行する前に第22章を参照してください。 |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先: エージェント・ホスト $10gWG_install_dir/oblix/lib/ObAccessClient.xml |
デプロイメントのニーズに合せて次の手順に進みます。
有効な管理者の資格証明を持つユーザーは、次の手順を実行して、Oracle Access Managementコンソールにより登録されたWebgateまたはアクセス・クライアントを削除できます。
注意: エージェントの登録を削除すると、登録のみが削除されます(関連付けられているホスト識別子、アプリケーション・ドメイン、リソースまたはエージェント自身は削除されません)。 |
前提条件
このエージェントに関連付けられているアプリケーション・ドメイン、リソースおよびポリシーを評価して、これらが別のエージェントを使用するように構成されていること(または削除可能されていること)を確認します。
Webゲートまたはアクセス・クライアントの登録を削除するには:
「システム構成」タブの「Access Manager」セクションから、「SSOエージェント」ノードを展開します。
「OAMエージェント」ノードを開いて、「検索」ページを表示します。
登録を検索: 「OAMエージェント登録の検索」を参照してください。
結果表から目的の登録を選択して開き、削除するエージェントであることを確認して、ページを閉じます。
結果表で名前を選択して「削除」(X)ボタンをクリックし、「確認」ダイアログで確認して、ページを閉じます。
エージェント名がナビゲーション・ツリーにないことを確認します。
エージェント・インスタンスの削除: 次の手順を実行します(必要があれば「Access Manager 11gデプロイメントからの10g Webgateの削除」を参照)。
Webサーバーを停止します。
次のディレクトリ・パスに用意されているユーティリティを使用して、Webゲート・ソフトウェアを削除します。
$Webgate_install_dir/oui/bin
Windows: setup.exe -d Unix: runInstaller -d
Webゲートのアップデート前のhttpd.confバージョンに戻します。次に例を示します。
コピー内容: httpd.conf.ORIG
コピー先: httpd.conf
Webサーバーを再起動します。
エージェントのホストで、Webgateインスタンス・ディレクトリを手動で削除します。
11g Webgate/アクセス・クライアント: 11gWebgate_instance_dir/webgate/config.
エージェントの登録にコンソールを使用する以外の方法として、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。Oracle Access Managementコンソールまたはリモート登録ユーティリティを使用する管理者は、システム・ストアに資格証明を格納しておく必要があります(第4章)。
この項では、リモート登録について詳細に説明します。この項の内容は、次のとおりです。
リモート登録ツールを使用する前に、表13-5のサンプルに示すように、スクリプト内の2つの環境変数を設定する必要があります。このサンプルでは、ツールの場所はLinuxシステム上の$OAM_REG_HOMEだと想定されています。環境によっては異なることがあります。
表13-5 oamreg内で設定する環境変数
環境変数 | 説明 |
---|---|
OAM_REG_HOME |
後に/rregが付けられるRREG.tarが展開されたディレクトリ。 OAM_HOME/oam/server/rreg/client/rreg |
JAVA_HOME |
Javaがクライアント・コンピュータに格納されているロケーション。たとえば、WLS_HOME/Middleware/jdk160_11などです。 注意: JAVA_HOMEはJDK 1.6を参照する必要があります。 |
さらに、リモート登録ツールを使用する前に、リクエスト・ファイル内の複数のタグを変更する必要があります(表13-9を参照)。
リモート登録コマンドの引数
表13-6に、リモート登録スクリプトの実行に必要な引数を示します。
表13-6 リモート登録コマンドの引数: モード
引数 | 説明 |
---|---|
モード |
次のいずれかを適用します。
|
input/ |
入力ファイル(*request.xmlまたはagentName_Response.xml)への絶対パス、またはOAM_REG_HOMEの値に対する相対パス。 推奨される場所は、$OAM_REG_HOME/inputです。 |
リモート登録のサンプル・コマンド
サンプル・コマンドを表13-7に示します。このコマンドでは、ツールの場所をLinuxシステムの$OAM_REG_HOMEと想定しています。
表13-7 リモート登録コマンドのサンプル
コマンド・タイプ | サンプル(Linux) |
---|---|
帯域内の管理者の帯域内リクエスト |
./bin/oamreg.sh inband input/*Request.xml |
帯域内の管理者によって送信されたリクエスト |
./bin/oamreg.sh outofband input/starting_request.xml |
帯域外の管理者の戻されたレスポンス |
|
[prompt_flag] value: [-noprompt] |
オプション。-nopromptを使用すると、oamregはプロンプト(パスワードなど)を待ちません。かわりに、これらの値は入力ファイルから、またはechoコマンドを使用してコマンドライン自体から取得されます。 OAM_REG_HOMEロケーションからの例 (echo username; echo password; echo webgate_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt config.file (echo username; echo password; echo webgate_password; echo httpscert_trust_prompt;) | ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo webgate_password; echo cert_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo webgate_password; echo httpscert_trust_prompt; echo cert_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt 関連項目: 「エージェントのリモート更新」 |
スクリプトの実行後、成功または失敗のメッセージが通知されます。登録または更新が成功したら、「更新されたエージェント構成ファイルについて」の説明に従って、アーティファクトをエージェント・ホストにコピーする必要があります。
表13-8に、エージェント・タイプにかかわらず、すべてのリモート登録リクエスト・ファイル内で共通するグローバルな要素を示します。
表13-8 リモート登録リクエストの共通要素
要素 | 例 | |
---|---|---|
<serverAddress> |
<serverAddress>http://{oam_admin_ser ver_host}:{oam_admin_server_port} </serverAddress> |
|
<agentName> |
<agentName>RREG_OAM</agentName>
|
|
<hostIdentifier> |
<hostIdentifier>RREG_HostId11G
</hostIdentifier>
|
|
拡張されたテンプレートのみ |
||
<agentBaseUrl> |
<agentBaseUrl>http://{web_server_ host):(web_server_port} </agentBaseUrl> |
|
<autoCreatePolicy> |
<autoCreatePolicy>true </autoCreatePolicy> |
|
<applicationDomain> |
<applicationDomain>RREG_OAM11G </applicationDomain> |
|
<virtualhost> |
<virtualhost>false<virtualhost> |
登録方式(Oracle Access Managementコンソールおよびリモート登録)にかかわらず、各登録エージェントに対称キーがあります。
mod_ossoまたはOAMエージェントの保護の有無に関係なく、各アプリケーションに対称キーがあります。登録ツールにより、このキーが生成されます。必要に応じて取得できるように、アプリケーションのマッピング、キーおよびエージェント・タイプがシステム構成に格納されます。
キーの使用
各11g Webgateエージェントには、エージェントとOAMサーバー間で共有される独自の秘密鍵があります。ある11g Webgateのセキュリティが破られたとしても、その他の11g Webgateには影響しません。概要は次のとおりです。
ホストベースのWebgate固有のOAMAuthnCookie_<host:port>_<random number>を暗号化/復号化します。
WebgateおよびOAMサーバー間でリダイレクトされるデータを暗号化/復号化します。
キーの生成
図13-4は、使用方式(Oracle Access Managementコンソールおよびリモート登録)に関係なくエージェントの登録時に自動的に発生するキーの生成プロセスを示しています。エージェントごとに1つの対称キーがあります。
キーのアクセス可能性およびプロビジョニング
エージェント固有の各キーは、クライアント・マシン上の保護されたローカル・ストレージを介して、対応するWebgateからアクセスできる必要があります。暗号化キーは、データ・ストアには格納されません。かわりに、JavaキーストアまたはCSFリポジトリのエントリへの別名が格納され、パートナと信頼管理APIは、リクエストされた時点で実際のキーを取得します。エージェント固有の秘密鍵には、次の特徴があります。
リモート登録中にプロビジョニングされます(帯域内モードまたは帯域外モード)。
各エージェントを一意に識別できるように一意の値が設定されます。
エージェントにセキュアに配布されます(帯域内モードのワイヤまたは帯域外モードの個別のセキュアなチャネルを使用)。
SSOウォレットのOracle Secret Storeに保存されます。SSOウォレットの作成は、11g Webgateにのみ適用されます(その他の10g Webgateなどのエージェント・タイプには適用されません)。
注意: Oracle Secret Storeは、プレーン・テキストではないOracle Wallet内の秘密鍵および他のセキュリティ関連の秘密情報を統合するコンテナです。SSOウォレットは、基礎となるファイル・システムのセキュリティに基づいてデータを保護します。このウォレットを開く場合、パスワードは必要ありません。SSOウォレットのセキュリティは、オペレーティング・システムおよびファイル権限によって異なります。 |
登録の完了時に自動ログインの編集可能なSSOウォレットのOracle Secret Storeに保存されます。
キーの格納
エージェント・キーを含むSSOウォレットをWebgate_instance_dir/webgate/config(WebTier_Middleware_Home/Oracle_WT1/instancesなど)のObAccessClient.xmlを含むディレクトリのcwallet.ssoに格納する必要があります。
SSOウォレットにユーザー・パスワードは不要で、適切なファイル権限(700)またはWindowsのレジストリで保護する必要があります。
Oracleでは、エージェントのリモート登録ツールのoamreg.sh(Linux)またはoamreg.bat(Windows)と一緒に使用するために、短縮版と拡張版の両方の登録リクエスト・テンプレートを提供しています。この項では、主にOAMエージェントのテンプレート(Webゲートおよびアクセス・クライアント)について説明します。
どちらのテンプレート(短縮版または拡張版)を選択した場合でも、11gと10gのOAMエージェントのテンプレート間には、表13-9に示すように少数の相違点があります。これらのテンプレートは、$OAM_REG_HOME/input/
に格納されています。
表13-9 OAMエージェント用のリモート登録リクエスト・テンプレート
テンプレート・タイプ | $OAM_REG_HOME/input/内のテンプレート名 |
---|---|
簡略(短縮)版 |
|
拡張(完全)版 |
|
その他のテンプレート エージェントの更新 ポリシーの作成、ポリシーの更新 帯域外レスポンス |
これらの専用タスクおよびテンプレートについては、次を参照してください。 |
注意: 10g Webgateと11g Webgateでほとんど同じですが、使用しているリリースに適切なリクエストをコピーして使用してください。 |
表13-10に、OAMエージェントのリモート登録リクエストに固有の要素を示します。リクエスト・テンプレート内の要素名はOracle Access Managementコンソール内の対応する要素名と少しだけ異なる場合があります。特に明記しないかぎり、ここに記載する情報はすべて、11gおよび10gの両方のWebgate/アクセス・クライアントのリクエストに対して等しく適用されます。保護されているリソース・リスト、パブリック・リソース・リスト、除外されたリソース・リストは、OAMエージェントの短縮版と拡張版の両方のリクエスト・テンプレートに含まれています。
表13-10 拡張されたOAMエージェントのリモート登録リクエスト内の要素
要素 | 例 | |
---|---|---|
<serverAddress> <agentName> <hostIdentifier> <agentBaseUrl> <autoCreatePolicy> <applicationDomain> <virtualhost> |
表13-8「リモート登録リクエストの共通要素」を参照してください。 |
|
<hostPortVariationsList> |
<hostPortVariationsList> <host>host1</host> <port>7777</port> </hostPortVariations> <host>host2</host> <port>7778</port> </hostPortVariations> </hostPortVariationsList> |
|
<protectedResourcesList> |
<protectedResourcesList> <resource>/</resource> </protectedResourcesList> |
|
<publicResourcesList> |
<publicResourcesList> <resource>/public/index.html </resource> </publicResourcesList> |
|
<excludedresourcesList> |
<excludedresourcesList> <resource>/excluded/index.html </resource> </excludedresourcesList> |
|
<primaryCookieDomain> 10gリクエストのみ OAMRequest.xml (10g Webgate)では、<hostIdentifier>も優先HTTPホストとして使用されます。 |
<primaryCookieDomain>{client_domain} </primaryCookieDomain> |
|
<maxCacheElems> |
<maxCacheElems>100000 </maxCacheElems> |
|
<cacheTimeout> |
<cacheTimeout>1800</cacheTimeout> |
|
<tokenValidityPeriod> 11gリクエストのみ |
<tokenValidityPeriod>3600 </tokenValidityPeriod> |
|
<cookieSessionTime> 10g Webgateのみ、第22章 |
<cookieSessionTime>3600 </cookieSessionTime> |
|
<maxConnections> |
<maxConnections>1</maxConnections> |
|
<maxSessionTime> |
<maxSessionTime>24</maxSessionTime> |
|
<idleSessionTimeout> 10g Webgateのみ、第22章 |
<idleSessionTimeout>3600> </idleSessionTimeout |
|
<failoverThreshold> |
<failoverThreshold>1 </failoverThreshold> |
|
<aaaTimeoutThreshold>- |
<aaaTimeoutThreshold>-1 </aaaTimeoutThreshold> |
|
<sleepFor> |
<sleepFor>60</sleepFor> |
|
<debug> |
<debug>false</debug> |
|
<security> |
<security>open</security |
|
<denyOnNotProtected> |
<denyOnNotProtected>1 </denyOnNotProtected> |
|
<allowManagementOperations> |
<allowManagementOperations>false/<allowManagementOperations> |
|
<cachePragmaHeader> <cacheControlHeader> |
<cachePragmaHeader>no-cache </cachePragmaHeader> <cacheControlHeader>no-cache </cacheControlHeader |
|
<ipValidation>0</ipValidation> |
||
<ipValidationExceptions> <ipAddress>10,11,11,11</ipAddress> <ipAddress>10,11,11,12</ipAddress> <ipAddress>10,11,11,13</ipAddress> </ipValidationExceptions> |
||
<logOutUrls> |
<logOutUrls> <url>/logout1.html</url> <url>/logout2.html</url> </logOutUrls> |
|
<logoutCallbackUrl> 11gリクエストのみ |
<logoutCallbackUrl>/oam_logout_success </logoutCallbackUrl> |
|
<logoutTargetUrlParamName> 11gリクエストのみ |
<logoutTargetUrlParamName>end_url </logoutTargetUrlParamName> |
|
ユーザー定義パラメータの名前 |
例 <userDefinedParameters> <userDefinedParam> <name>...</name> <value>...</value> </userDefinedParam> |
|
MaxPostDataLength |
<userDefinedParameters> <userDefinedParam> <name>MaxPostDataLength</name> <value>750000</value> </userDefinedParam> |
|
maxSessionTimeUnits |
<userDefinedParameters> <name>maxSessionTimeUnits</name> <value>hours</value> </userDefinedParam> |
|
RetainDownstreamPostData |
<userDefinedParameters> <name>RetainDownstreamPostData </name> <value>false</value> </userDefinedParam> |
|
useIISBuiltinAuthentication |
<userDefinedParameters> <name>useIISBuiltinAuthentication </name> <value>false</value> </userDefinedParam> |
|
idleSessionTimeoutLogic 10g Webgateのみ |
<userDefinedParameters> <name>idleSessionTimeoutLogic </name> <value>leastComponentIdleTimeout </value> </userDefinedParam> |
|
URLInUTF8Format |
<userDefinedParameters> <name>URLInUTF8Format</name> <value>true</value> </userDefinedParam> |
|
inactiveReconfigPeriod 共有シークレットは、10g Webgateにのみ適用されます。 構成は、11g Webgateにのみ適用されます。 |
<userDefinedParameters> <name>inactiveReconfigPeriod</name> <value>10</value> </userDefinedParam> |
|
WaitForFailover |
<userDefinedParameters> <name>WaitForFailover</name> <value>-1</value> </userDefinedParam> |
|
proxySSLHeaderVar |
<userDefinedParameters> <name>proxySSLHeaderVar</name> <value>IS_SSL</value> </userDefinedParam> |
|
client_request_retry_attempts |
<userDefinedParameters> <name>client_request_retry_attempts </name> <value>1</value> </userDefinedParam> |
|
ContentLengthFor401Response |
<userDefinedParameters> <name>ContentLengthFor401Response </name> <value>0</value> </userDefinedParam> |
|
SUN61HttpProtocolVersion |
<userDefinedParameters> <name>SUN61HttpProtocolVersion </name> <value>1.0</value> </userDefinedParam> |
|
impersonationCredentials |
<userDefinedParameters>
<name>username:password
</name>
<value>cred</value>
</userDefinedParam>
|
|
UseWebgateExtForPassthrough |
<userDefinedParameters> <name>UseWebgateExtForPassthrough </name> <value>false</value> </userDefinedParam> |
|
syncOperationMode |
<userDefinedParameters> <name>syncOperationMode</name> <value>false</value> </userDefinedParam> |
|
filterOAMAuthnCookie 11gリクエストのみ |
<userDefinedParameters> <name>filterOAMAuthnCookie</name> <value>true</value> </userDefinedParam> |
この項では、すべてのエージェント・タイプで同様なリモート登録の実行方法について説明します。この項の内容は、次のとおりです。
oamregクライアント・ツールは、OAMサーバー上でなくても使用できます。oamregのホームをすでに開いている場合は、次の手順を使用することで、oamregスクリプトを入手してオペレーティング・システムに合せて更新できます。
Windowsの場合: oamreg.bat
Linuxの場合: oamreg.sh
注意: ここで説明するように、最新のバンドル・パッチを適用し、再度RREG.tar.gzを解凍することで、最新のツールとファイルを使用することをお薦めします。 |
リモート登録には、JAVA_HOMEおよびOAM_REG_HOMの2つの変数が必要です(表13-11を参照してください)。
表13-11 リモート登録に必要な変数
ロケーション | 変数 | 説明 |
---|---|---|
クライアント側 |
JAVA_HOME |
環境にすでに設定されている$JAVA_HOMEに基づくコンピュータのJDK 1.6の場所。 |
OAM_REG_HOME |
絶対表記したRREG HOMEのファイルの場所(RREG.tarを展開したディレクトリに/rregを続けた位置で、かつスクリプトが置かれている場所のすぐ上のディレクトリ)。 次に例を示します。 OAM_HOME/oam/server/rreg/client/rreg IM_ORACLE_HOMEがMW_HOME/Oracle_IDMだと仮定した場合: OAM_REG_HOME=MW_HOME/Oracle_IDM/oam/server/rregをエクスポートします。 |
|
rregフォルダの場所(RREG.tar.gzの場所ではなく) |
JAVA_HOME |
環境にすでに設定されている$JAVA_HOMEに基づきます。 |
OAM_REG_HOME |
インストール中にスクリプトにすでに設定されています。 |
環境変数を使用してツールを取得し、スクリプトを更新する手順
次のパスのRREG.tar.gzファイルを探します。
ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを解凍すると、必須のツールとテンプレートを含むディレクトリが/client
の下に作成されます。
oamregスクリプト(.../rreg/client/rreg/bin
)で、環境変数を次のように設定します。
「リモート登録リクエストの作成」に進みます。
登録する特定のエージェントの入力を提供する適切な*Request*.xmlファイルを作成するには、次の手順を使用できます。
前提条件
登録リクエストを作成するには、次の手順を実行します。
登録するエージェントに必要な*Request*.xml入力ファイルを探します。
どちらのテンプレート(短縮版または拡張版)を選択した場合でも、$OAM_REG_HOME/input/
に格納されている11gと10gのエージェントのテンプレート間には少数の相違点があります。次に例を示します。
OAM11GRequest.xml
リクエスト・ファイルを新しい名前でコピーします。次に例を示します。
次で説明する詳細を使用して、エージェントおよび保護するリソースの詳細を反映するように、リクエスト・ファイルを変更します。
それぞれの環境に応じて、次のタスクを実行します。
ネットワーク内のOAM管理者は、すべてのタスクを実行します。この項では、エージェント・タイプに関係なく、帯域内リモート登録を実行する手順を説明します。この例の場合、OAMエージェントは、Linuxシステムで短いリクエストを使用して登録されます。実際のエージェント・タイプ、リクエスト・テンプレートおよび出力ファイルは異なります。
関連項目: 『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle HTTP Server 11g Webgate for OAMのインストールおよび構成」の章 |
前提条件
帯域内リモート登録を実行するには、次の手順を実行します。
エージェントをホストしているコンピュータで、登録コマンドを実行し、入力ファイルとして独自の*Request*.xmlを指定します。次に例を示します。
./bin/oamreg.sh inband input/
myagent_request.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 画面のメッセージを確認します。
帯域内登録プロセスが正常に完了しました。
固有の構成ファイルの場所が出力フォルダに作成されます。
出力フォルダは、RREG.tar.gzが展開されている場所(/rreg/output/AgentName/)にあります。
/rreg/output/AgentName/フォルダにエージェント用に作成されるネイティブ構成ファイルを確認します。
登録の完了: 古い構成ファイルがまだ置換されていない場合、次の手順を実行して置換します。
/rreg/output/AgentName/内のアーティファクトをコピーして、エージェント構成を更新します。次に例を示します。
コピー元: AdminServer (コンソール)ホスト
/rreg/output/
Agent_Name/ObAccessClient.xml
およびcwallet.sso
コピー先: エージェント・ホストの$11gWG_install_dir/webgate/config
。次に例を示します。
エージェントをホストしているOAMサーバーを再起動します。
「リモート登録の検証」に進みます。
この項では、ネットワークの外部(および内部)の管理者が連携してエージェントをリモート登録する手順について説明します。
帯域外リモート登録時に、ネットワーク外の管理者は、ネットワーク内の管理者に登録リクエストを送信します。リクエストの処理後、帯域内の管理者は、帯域外の管理者が環境を構成するために必要になる、次のファイルを戻します。
表13-12 帯域内の管理者が帯域外の管理者に戻すファイル
ファイル | 説明 |
---|---|
agentName_Response.xml |
帯域外の管理者に戻され、この管理者が使用します。agentName_Response.xmlを開いたり編集したりしないようにすることをお薦めします。 |
固有のWebサーバー構成ファイル |
帯域外の管理者に戻され、この管理者がWebサーバーを更新するために使用します。 |
関連項目 |
|
それぞれの管理者が実行する手順は、次のように扱われます。
帯域内の管理者: ネットワーク内のWebサーバー管理者が実行するタスクを扱います。
帯域外の管理者: ネットワーク外のWebサーバー管理者が実行するタスクを扱います。
関連項目: 『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle HTTP Server 11g Webgate for OAMのインストールおよび構成」の章 |
ここでは、LinuxシステムでOAMエージェントを登録する手順を説明します。実際のテンプレートおよび出力ファイルは異なります。
前提条件
帯域外リモート登録を実行するには、次の手順を実行します。
帯域外の管理者: starting_request.xmlファイルを作成して、処理するために帯域内の管理者に送信します(「リモート登録リクエストの作成」を参照してください)。
WLS_Home/Middleware/Oracle_IDM1/oam/server/rreg/client/rreg/output/AgentName/starting_request.xml
帯域内の管理者の手順:
登録コマンドを実行し、入力ファイルとして帯域外の管理者のstarting_request.xmlを指定します。次に例を示します。
./bin/oamreg.sh outofband input/starting_request.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 登録プロセスが正常に完了しました。
Response.xmlの場所が入力フォルダに作成されます。
入力フォルダは、RREG.tar.gzが展開されている場所(/rreg/input/AgentName/)にあります。
他のアーティファクトとともにagentName_Response.xmlファイルを帯域外の管理者に戻します。次に例を示します。
agentName_Response.xml
帯域外の管理者: 次のように環境を更新します。
エージェントをホストしているコンピュータで、リモート登録コマンドを実行し、入力ファイルとして受け取ったagentName_Response.xmlを指定します。次に例を示します。
./bin/oamreg.sh outofband input/
agentName_Response.xml
/rreg/output/AgentNameに生成されるアーティファクトをコピーして、エージェント構成を更新してから、エージェントをホストするOAMサーバーを再起動します。たとえば、ObAccessClient.xmlとcwallet.ssoを次のようにコピーします。
コピー元: AdminServer (コンソール)ホストの/rreg/output/
Agent_Name/ObAccessClient.xml
およびcwallet.sso
コピー先: エージェント・ホストの$11gWG_install_dir/webgate/config
。次に例を示します。
「リモート登録およびリソース保護の検証」に進みます。
管理者が既存のエージェント登録をすばやく更新、検証または削除できるように、複数のリモート管理モードが提供されています。この項の内容は次のとおりです。
表13-13に、リモート・エージェント管理のモードを示します。コマンドのパラメータには、モード、入力*Request.xmlファイル(OAM_REG_HOMEに対する相対パス、入力*Request.xmlファイルの優先ロケーション)が含まれます。
./oamreg.sh <mode> <input_file> [prompt_flag] [component.oam.config_file] <mode> value
表13-13 リモート・エージェント更新のモードと入力ファイル
モードおよび入力ファイル | 説明および構文 |
---|---|
agentUpdateモード OAM11GUpdateAgentRequest.xml OAMUpdateAgentRequest.xml |
エージェント・タイプに関係なく、管理者が既存のエージェント属性を更新できます。 ./bin/oamreg.sh agentUpdate input/*UpdateAgentRequest.xml 関連項目: OpenSSOUpdateAgentRequest、第20章 OSSOUpdateAgentRequest、第21章 |
agentValidateモード 入力ファイルは不要です。 |
エージェントがOracle Access Managerですでにプロビジョニングされているかどうかを検証します。
./bin/oamreg.sh agentValidate agentname
|
agentDeleteモード 入力ファイルは不要です。 |
管理者がエージェント登録を削除できます。
./bin/oamreg.sh agentDelete agentname
|
OAM11GUpdateAgentRequest.xml
を使用して、特定のエージェント更新値をリモート登録ツールのoamregに渡します。更新リクエストと元の登録リクエストの主な違いは、更新リクエストの次の点にあります。
この項では、エージェント・タイプに関係なく、Access Managerを使用して登録したエージェントに関する次のトピックについて説明します。
このトピックでは、エージェント・タイプに関係なく、Access Managerを使用して登録したエージェントを更新する手順について説明します。
前提条件
「リモート・エージェント更新のモードについて」を確認してください。
エージェント登録をリモートで更新する手順
「リモート登録ツールの取得および設定」の説明に従って、登録ツールを設定します。
次のいずれかのテンプレートを使用して、更新リクエストを作成します。
エージェントをホストしているコンピュータで、agentUpdate
モードで次のコマンドを実行し、入力ファイルとして独自の*Request*.xmlを指定します。次に例を示します。
./bin/oamreg.sh agentUpdate input/*UpdateAgentRequest.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 画面のメッセージを確認します。
agentUpdateプロセスは正常に完了しました。
固有の構成ファイルの場所が出力フォルダに作成されます。
出力フォルダは、RREG.tar.gzが展開されている場所(/rreg/output/AgentName/)にあります。
エージェント登録を完了します。更新したObAccessClient.xmlとcwallet.ssoをコピーします。
再配置元AdminServer (コンソール)ホスト: /rreg/output/Agent_Name/
コピー先のエージェント・ホスト: $11gWG_install_dir/webgate/config。次に例を示します。
このエージェントをホストするOAMサーバーを再起動して、「リモート・エージェント検証の実行」に進みます。
このトピックでは、エージェント・タイプに関係なく、エージェント登録を検証する手順について説明します。
前提条件
「リモート・エージェント更新のモードについて」を確認してください。
エージェント登録をリモートで検証する手順
「リモート登録ツールの取得および設定」の説明に従って、登録ツールを設定します。
エージェント・ホストで、agentValidate
モードで次のコマンドを実行します。次に例を示します。
./bin/oamreg.sh agentValidate agentname
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 画面のメッセージを確認します。
AgentValidationプロセスは正常に完了しました。
このトピックでは、エージェント・タイプに関係なく、登録されているエージェントを削除する手順について説明します。
前提条件
「リモート・エージェント更新のモードについて」を確認してください。
エージェント登録をリモートで削除する手順
「リモート登録ツールの取得および設定」の説明に従って、登録ツールを設定します。
エージェントをホストしているコンピュータで、次のagentDelete
コマンドを実行します。次に例を示します。
./bin/oamreg.sh agentDelete agentname
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージを参照して確認します。
成功: 画面のメッセージを確認します。
AgentDeleteプロセスは正常に完了しました。
この項の内容は次のとおりです。
次の手順は、エージェント・タイプに関係なく、エージェントの登録を検証するガイドとして使用できます。Oracle Access Managementコンソールを使用してタスクを実行するには、帯域内の管理者である必要があります。帯域外の管理者は、リモートの認証およびアクセスをテストする必要があります。
このトピックでは、次の手順を説明します。
次の手順を使用できるのは、帯域内の管理者のみです。
エージェントおよびアプリケーション登録を検証するには、次の手順を実行します。
Oracle Access Managementコンソールで、エージェントの登録を検証します。
Oracle Access Managementコンソールの「システム構成」タブでエージェントの詳細を確認します。
更新したエージェント構成ファイルが、適切な場所に配置されていることを確認します(「OAMエージェントのリモート登録の実行」を参照)。
共有コンポーネントのホスト識別子を検証します。Oracle Access Managementコンソールでホスト識別子が定義されていることを確認します。
アプリケーション・ドメインを検証します。「ポリシー構成」タブで、登録されたエージェントに基づいて名付けられた新しいアプリケーション・ドメインがあることを確認します。アプリケーション・ドメインのリソースには、ホスト識別子を関連付ける必要があります。
「リモート登録後の認証およびアクセスの検証」に進みます。
登録後は、AdminServerまたはOAMサーバーを再起動しなくても、適切な認証によって、保護されたリソースにアクセスできる必要があります。帯域内および帯域外のどちらの管理者も、次の手順を使用して、登録およびポリシーが適切であることを検証できます。
ここでの手順は、登録、認証および認可が適切に構成および動作していることを確認するいくつかの方法を示しています。手順は、すべてのエージェント・タイプでほぼ同じです。
登録後に認証およびアクセスを確認するには、次の手順を実行します。
登録されたOAMエージェントで保護されたアプリケーションのURLを入力して、ログイン・ページが表示されていることを確認します(認証リダイレクトURLが適切に指定されたことが証明されます)。次に例を示します。
http://exampleWebserverHost.sample.com:8100/resource1.html
ログイン・ページで、求められた場合に有効なユーザー名およびパスワードを入力し、「ログイン」をクリックします。
OAM固有のCookieがブラウザ・セッションに作成されていることを確認します。次に例を示します。
ObSSOCookie
Set-Cookie:
ObSSOCookie=GGVEuvjmrMe%2FhbItbjT24CBmJo1eCIfDIwQ1atdGdnY4mt6kmdSekSFeAAFvFrZZZ
xDfvpkfS3ZLZFbaZU2rAn0YYUM3JUWVYkYFwB%2BBK7V4x%2FeuYHj%2B8gwOyxhNYFna3iSx1MSZBE
y51KTBfsDYOiw6R%2BCxUhOO8uZDTYHI3s0c7AQSyrEiQTuUV3nv1omaFZlk1GuZa4J7ycaGbIUyqwX
rM0cKuBJNd6sX1LiRj9HofYQsvUV7ToqeAOpDS7z9qs5LhqU5Vq60bBn12DTX6zNX6Lcc0L5tVwvh7%
2BnOAkz2%2BoDkLs%2BBTkeGcB3ppgC9;httponly; path=/; domain=.example.com;
OAM_ID Cookie:
Set-Cookie: OAM_ID=v1.0~0~E1EBBC9846E09857060A68E79AEEB608~AA79FC43C695162B6CDE3738F40E94DA 6408D58B879AC3B467EBBD4800743C899843672B3511141FFABCF58B2CDCB700C83CC734A913625 7C4ABDA6913C9EF5A4E05C5D03D3514F2FECACD02F1C1B9314D76B4A68CB7A8BE42AEB09AFB98B8 EB; path=/; HttpOnly
次に進みます。
成功: 正しく認証され、リソースへのアクセスが付与された場合、構成が正常に動作します。詳細な検証については、手順5から12に進みます。
失敗: ログイン中にエラーを受け取った場合またはリソースへのアクセスが拒否された場合、次の項目を確認します。
ログイン・エラー: 有効なユーザーIDおよびパスワードが入力されていることを確認します。
使用不能なリソース: リソースが使用できることを確認します。
不正なリダイレクトURL: Oracle Access ManagementコンソールのリダイレクトURLを確認します。
ユーザー・バリエーション: ユーザー・バリエーションで手順1から4を再実行して、適切な動作(認可ユーザーの成功または未認可ユーザーの失敗)を確認します。
リクエストの取消し: 部分的なログインを実行し、「取消」をクリックしてリソースにアクセスしていないことを確認します。
変更された認証URL: 手順1から5を実行して適切なレスポンスを確認する場合、ほとんど同じ認証URLを入力します。たとえば、1文字をURL文字列に追加します。
更新されたリソース: 次の手順を実行して、リソースにアクセスできることを確認します。次に例を示します。
元のリソース: /abc/test.html
更新されたリソース: /abc/xyz/test.html
Oracle WebLogic Serverを再起動しない場合
更新されたリソースにアクセスし、ユーザーが認証を求められ、リソースにアクセスできることを確認します。
元のリソースにアクセスし、リソースにアクセス可能で、ユーザーが認証を求められていないことを確認します。
様々なURLパターン: 手順1から5を実行する場合、様々なURLパターンの認証を確認します。
新しい認証スキーム: 次の手順を実行して、WebLogic Serverを再起動しないで認証操作を確認します。
異なる認証スキームを使用する新しい認証ポリシーを追加します。
新しいポリシーを使用して、リソースを保護します。
Oracle WebLogic Serverを再起動しないで、手順1から4を実行します。
CGIリソース・ヘッダー変数およびCookie: 次の手順を実行して、WebLogic Serverを再起動しないで認証操作を確認します。
新しい認証ポリシーを追加してCommon Gateway Interface(CGI)リソースを保護し、「認証に成功しました」のレスポンスを設定します。
新しいポリシーを使用して、リソースを保護します。
CGIリソースにアクセスします。
CGIデータ・ダンプでレスポンスに対して構成されたヘッダー値を確認します。
エージェントの無効化: WebgateがObAccessClient.xmlで無効な場合、次の手順を実行して、アクセス可能性および認証を検証します(Webgateは、oam-config.xmlから有効な値を選択する必要があります)。
エージェント状態を無効化します。WebサーバーおよびOAMサーバーを起動します。エージェントによって保護されているアプリケーションにアクセスして、認証を要求されることを確認します。