Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2) B71104-01 |
|
![]() 前 |
![]() 次 |
Oracle Access Management Access Manager (Access Manager)とOracle Adaptive Access Manager (OAAM)を統合すると、認証プロセスを細かく制御して、Oracle Adaptive Access Managerポリシーに対する認証前および認証後チェックの全機能を使用できるようになります。
この章では、Oracle Adaptive Access ManagerをOracle Access Management Access Manager (Access Manager)と統合し、リスクベースの認証によりリソースを保護する方法について説明します。
この章では、次の内容を説明します。
注意: Oracle Identity Managerとの統合では、パスワード収集に関連する追加機能が提供されます。第9章「Access Manager、OAAMおよびOIMの統合」を参照してください。 |
Oracle Access Management Access Manager (Access Manager)は、Webシングル・サインオン(SSO)、認証、認可、ポリシーとエージェントの集中管理、リアルタイム・セッション管理および監査のコア機能を提供します。
Oracle Adaptive Access Manager 11gでは、重要なオンライン・ビジネス・アプリケーションを、強力でありながら導入が容易なリスクベースの認証、フィッシング対策およびマルウェア対策機能によって保護します。
この統合シナリオにより、Access Managerを使用してリソースへのアクセスを制御し、Oracle Adaptive Access Managerを使用して強力なマルチファクタ認証と事前対応型のリアルタイムな詐欺防止を実現できるようになります。拡張ログイン・セキュリティには、仮想認証デバイス、デバイスのフィンガープリント、リアルタイム・リスク分析およびリスクベースのチャレンジが含まれます。
Access ManagerとOracle Adaptive Access Managerは、次の2通りの方法のいずれかで統合できます。
OAAMとAccess Managerとの基本統合
OAAMとAccess Managerとの拡張統合
ネイティブ統合であるOAAMとAccess Managerとの基本統合では、Identity Management Middleware WebLogic Serverドメイン内のOAMサーバーとOAAM管理サーバー、および動作するOAAMデータベースが必要です。OAAM管理サーバーは、Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびOracle Adaptive Access Manager機能の構成に使用されます。ポリシーがインポート、エクスポートまたは構成されると、その変更がOAAMデータベースに保存されます。
Oracle Adaptive Access Managerのライブラリは、OAMサーバーにバンドルされています。Access Managerは、拡張機能ライブラリを通じてOracle Adaptive Access Managerに統合され、これらを直接使用します。ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能は、これらのライブラリを使用して提供されます。ユーザーが登録フローに入ると、Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。このデプロイでは、ライブラリを通じてOracle Adaptive Access Managerランタイム機能が使用可能になるため、OAAMサーバーは不要です。この統合で使用できるチャレンジ・メカニズムは、ナレッジベース認証(KBA)のみです。
各デプロイメントでサポートされるシナリオおよび各シナリオを実現するフローの詳細は第1.5項「一般的な統合のシナリオ」を参照してください。
表8-1は、Access ManagerとOracle Adaptive Access Managerの統合タイプをまとめたものです。
表8-1 Access ManagerとOracle Adaptive Access Managerの統合のタイプ
詳細 | 基本 | 拡張 | TAPを使用した拡張 |
---|---|---|---|
使用可能 |
11.1.1.3.0以上 |
11.1.1.3.0およびOAAM (11.1.1.5以前) 11g Release 1 (11.1.1)のバージョンのOAAMのAccess Managerとの拡張統合については、このバージョンの『Oracle Fusion Middleware Oracle Access Manager統合ガイド』を参照してください。 |
11.1.1.5.0以上 OAAMとAccess Managerとの拡張統合では、TAPを使用したAccess ManagerとOAAMとの統合がサポートされています。 |
機能 |
認証スキーム、デバイスのフィンガープリント、リスク分析およびナレッジベース認証(KBA)チャレンジ・メカニズム。 この統合で使用できるチャレンジ・メカニズムは、KBAのみです。 異なるフロー(チャレンジ、登録など)のライブラリおよび構成インタフェース。OAAMから利用できる多くのログイン・セキュリティ・ユース・ケース。 |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 また、必要に応じて、システム・インテグレータを介して、OAAMとサード・パーティのシングル・サインオン製品を統合することもできます。 |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム、およびステップアップ認証などその他の高度なセキュリティ・アクセス機能。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 また、必要に応じて、システム・インテグレータを介して、OAAMとサード・パーティのシングル・サインオン製品を統合することもできます。 |
OAAMサーバー |
Access Managerに埋め込まれたOAAMサーバー。これによりフットプリントが小さくなります。 Oracle Adaptive Access Managerの拡張ライブラリは、埋込みOAMサーバーにバンドルされ、直接使用されます。 このデプロイでは、ライブラリを通じてOracle Adaptive Access Managerランタイム機能が使用可能になるため、個別のOAAMサーバーは不要です。 ライブラリでは、ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能が提供されます。ユーザーが登録フローに入ると、Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。 |
OAAMとの完全な統合が必要です。 OAAMサーバーには個別の管理対象サーバーが必要です。 |
OAAMとの完全な統合が必要です。 OAAMサーバーには個別の管理対象サーバーが必要です。 |
OAAM管理サーバー |
必須 OAAM管理サーバーは、Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびOracle Adaptive Access Manager機能の構成に使用されます。 |
必須 |
必須 |
OAAMデータベース |
必須 |
必須 |
必須 |
サポートされているエージェント |
10g Webゲートおよびシングル・サインオン(OSSO)エージェント |
10g Webゲート |
10gおよび11g Webゲート |
認証スキーム |
OAAMBasic チャレンジ・パラメータ:
仕様:
スキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
OAAMAdvanced 仕様:
スキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
TAPScheme チャレンジ・パラメータ:
仕様:
スキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
参照先 |
第8.3項「OAAMとAccess Managerとの基本統合」 |
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』 11g リリース1 (11.1.1)を参照してください。 |
第9章「Access Manager、OAAMおよびOIMの統合」 |
認証フローの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』の認証フローに関する項を参照してください。
この項では、この統合に関係する主な定義、頭文字および略語を示します。
表8-2 拡張統合に関する用語
この項では、OAAMとAccess Managerとの基本統合の構成方法について説明します。
次のトピックでは、このタイプの統合を実装する方法について説明します。
Access ManagerをOracle Adaptive Access Managerとともに構成する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。 完全なインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを次に示します。
表8-3 統合に必要なコンポーネント
コンポーネント | 情報 |
---|---|
Oracleデータベース |
Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 |
WebLogic Server |
詳細は、Oracle WebLogic Serverのインストールに関する項および『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
Access ManagerおよびOracle Adaptive Access Managerのスキーマ |
RCUを実行し、Access ManagerおよびOAAMのスキーマを作成してください。 Oracle Fusion Middlewareリポジトリ作成ユーティリティはOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 |
Access ManagerとOracle Adaptive Access Manager |
Access ManagerとOAAMをインストールしてください。 Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 Oracle Identity Management 11g Fusion Middleware構成ウィザードを実行し、新規または既存のWebLogic管理ドメインにOracle Adaptive Access ManagerとAccess Managerを構成してください。これらは同じドメインに配置することも、別のドメインに配置することもできます。 ソフトウェアにパッチを適用して最新バージョンにします。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
Access ManagerとOracle Adaptive Access Managerの統合を実装するには、この項の手順に従います。
アプリケーションを保護するポリシーの作成
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
「IDMDomainAgent」の下の「リソース」を選択します。
保護されたリソースを追加します。
たとえば、リソースの次の情報を指定します。
ホスト識別子: IDMDomain
リソースURL: /
resource/.../*
新しい認証ポリシーの作成
「IDMDomainAgent」で新しい認証ポリシーを作成し、認証スキームをOAAMBasic
に設定します。
この手順では、保護されたリソースをOAAMBasic
認証スキームに関連付けています。
左側のペインで「アプリケーション・ドメイン」をダブルクリックしてから「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックし、「認証ポリシーの作成」ボタンをクリックします。
次の一般的なポリシーの詳細を追加します。
名前: 左側のペインで識別子として使用される一意の名前。たとえば、HighPolicy
などです。
認証スキーム: OAAMBasic
グローバル・ポリシー要素および指定を追加します。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
リソースを追加します。
リストの中からリソースのURLを選択します。リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
認証ポリシー・ページの「リソース」タブをクリックします。
タブの「追加」ボタンをクリックします。
リストの中からURLを選択します。たとえば、/higherriskresource
などです。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
ポリシー・レスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティをアサートできる必要があります。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
終了したらページを閉じます。
新しい認可ポリシーの作成
新しい認可ポリシーを作成します。
左側のペインで「認可ポリシー」をダブルクリックしてから「作成」ボタンをダブルクリックします。
認可ポリシーの一意の名前を入力します。
「リソース」タブで、「追加」ボタンをクリックします。
提供されたリストから、リソースURLをクリックします。
リソースURL: IDMDomain:/<resource>/.../*
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
OAAM管理コンソールにログインする権限を持つユーザーの作成
デフォルトでは、OAAM管理コンソールにログインする適切な権限を持つユーザーはありません。OAAM管理コンソールにログインするための適切な権限があるユーザーを作成し、必要なグループをそのユーザーに付与する必要があります。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左側のペインの「ドメイン構造」で、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm
)。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード/確認
新規作成したユーザーのuser1
をクリックします。
「グループ」タブをクリックします。
OAAM
キーワードのあるグループをすべて、ユーザーuser1
に割り当てます。
これらのグループを左(使用可能)から右(選択済)に移動します。
「保存」をクリックします。
oam-config.xmlの変更
oam-config.xml
ファイルを見つけて手動で変更します。
oam-config.xml
ファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME/config/fmwconfig
ディレクトリにあります。
次の例に示されているように、OAAMEnabled
プロパティをtrue
に設定します。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> <Setting Name="passwordPage" Type="xsd:string">/pages/oaam/password.jsp</Setting> <Setting Name="challengePage" Type="xsd:string">/pages/oaam/challenge.jsp</Setting> <Setting Name="registerImagePhrasePage" Type="xsd:string">/pages/oaam/registerImagePhrase.jsp</Setting> <Setting Name="registerQuestionsPage" Type="xsd:string">/pages/oaam/registerQuestions.jsp</Setting>
configureOAAM
のWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーに関連付けます。oam-config.xml
でそのプロパティを有効化する場合は、「OAAMとAccess Managerとの基本統合におけるconfigureOAAMのWLSTを使用したデータソースの作成」を参照してください。
OAAM管理サーバーの起動
OAAM管理サーバーのoaam_admin_server1
を起動し、新しく作成した管理対象サーバーをドメインに登録します。
DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_admin_server1
OAAMスナップショットのインポート
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。次の手順に従ってスナップショットをシステムにインポートします。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
次の手順に従って、スナップショット・ファイルをMW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリからシステムにロードします。
左側のペインで、「環境」ノードの下の「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」画面が表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するためのスナップショットのロードおよびリストア・ページが表示されます。
oaam_base_snapshot.zip
を参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
デフォルトのoaam_base_snapshot.zip
は、OAAM_HOME/oaam/init
ディレクトリにあります。
「OK」→「リストア」をクリックします。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。
OAAM管理サーバーのシャットダウン
OAAM管理サーバーのoaam_admin_server1
をシャットダウンします。
DOMAIN_HOME/bin/stopManagedWeblogic.sh oaam_admin_server1
データソースの作成
Oracle WebLogic管理コンソールにアクセスします。
http://weblogic_admin_server:7001/console
Oracle Adaptive Access ManagerがAccess Managerと同じWebLogicドメイン内に構成されていない場合は、Access Managerに対して次の手順を実行します。
次のJNDI名のデータソースを作成します。
jdbc/OAAM_SERVER_DB_DS
注意: データソースの名前には任意の有効な文字列を使用できますが、JNDI名は前述のものと同じである必要があります。 |
Oracle Adaptive Access Manager構成の一環として作成したスキーマに対して、Oracle Adaptive Access Managerデータベースの接続詳細を指定します。
「サービス」→「データベース・リソース」をクリックし、「OAAM_SERVER_DB_DS」リソースを見つけます。
WebLogic管理コンソールの左上隅にある「ロック」ボタンをクリックして、環境をロックします。
OAAM_SERVER_DB_DSリソースを開き、「ターゲット」タブをクリックします。そこに使用可能なWebLogicサーバーのリストが表示されます。
「管理サーバー」および「oam_server1」をターゲットとしてデータソースに関連付けます。
Oracle WebLogic管理コンソールの左上隅にある「アクティブ化」ボタンをクリックします。
構成のテスト
これまでに構成済の保護されたリソースにアクセスして、構成を検証します。
これで、Oracle Adaptive Access Managerの構成は完了です。
ユーザー名を入力するプロンプトが表示されます。さらに別画面でパスワードを入力するプロンプトが表示されます。
ユーザー名およびパスワードが検証されたら、3つのチャレンジ質問を選択し、これらに回答するように求められます。完了後に、保護されたアプリケーションが表示されます。
構成を検証するため、それぞれがリソースを保護する、2つのエージェントをリモートで登録します。
Oracle Access Managementコンソールを使用して、最初のリソースを認証フローのOAAMBasic
ポリシーに関連付けます。2つ目のリソースをLDAPScheme
に関連付けます。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項 |
Oracle Adaptive Access ManagerをOracle Access Managerと統合すると、企業は、アプリケーションの保護のレベルを大幅に向上させる高度なアクセス・セキュリティ機能を使用できるようになります。フィッシング対策、マルウェア対策、デバイス・フィンガープリント、動作プロファイリング、地理的位置マッピング、リアルタイム・リスク分析、複数のリスク・ベースのチャレンジ・メカニズム(ワンタイム・パスワードおよびナレッジベース認証質問など)の各機能により、アクセス・セキュリティのレベルを向上させることができます。
この項では、Oracle Access Management Access Manager (Access Manager) 11gとOracle Adaptive Access Manager (OAAM) 11gを拡張統合として統合する方法について説明します。
Access ManagerとOAAMとのTAP統合では、OAAM Serverは信頼できるパートナ・アプリケーションとして動作します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信します。するとOAMサーバーがユーザーを保護されたリソースにリダイレクトします。
OAAMとAccess Managerとの拡張統合シナリオには、Oracle Identity Managerがあるものとないものがあります。
Oracle Identity Managerあり
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。
統合の詳細は、第9章「Access Manager、OAAMおよびOIMの統合」を参照してください。
Oracle Identity Managerなし
環境にOracle Identity Managerが含まれていない場合は、この章で説明されている統合手順に従います。
表8-4は、Access ManagerとOracle Adaptive Access Managerの統合のための大まかなタスクをリストしたものです。
この構成手順では、Access ManagerとOracle Adaptive Access Managerをすぐに使用できる統合を使用して統合することを前提としています。
表8-4 Access ManagerとOracle Adaptive Access Managerとの統合フロー
番号 | タスク | 情報 |
---|---|---|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
2 |
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
3 |
OAAMユーザーを作成します。OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。 |
詳細は、「OAAM管理ユーザーおよびOAAMグループの作成」を参照してください。 |
4 |
OAAMベース・スナップショットをインポートします。Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、スナップショットをシステムにインポートする必要があります。 |
詳細は、「Oracle Adaptive Access Managerスナップショットのインポート」を参照してください。 |
5 |
Access Managerが正しく設定されたことを確認します。Oracle Access Managementコンソールに正常にログインできる必要があります。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
6 |
OAAMが正しく設定されたことを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
7 |
Webゲートエージェントを登録します。Webゲートは、すぐに使用できるアクセス・クライアントです。このWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOAMサーバー11gに転送します。 |
詳細は、「Oracle Access Managementコンソールを使用したWebゲートの登録」を参照してください。 |
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。 |
詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。 |
9 |
エージェント・パスワードを追加します。Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOracle Adaptive Access Managerによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOracle Adaptive Access Managerで統合に使用される前に、パスワードを設定する必要があります。 |
詳細は、「Oracle Access ManagementコンソールでのIAMSuiteAgentプロファイルへのパスワードの追加」を参照してください。 |
10 |
IAMSuiteAgentを更新します。 |
詳細は、「WebLogic管理コンソールでのIAMSuiteAgentの更新」を参照してください。 |
11 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
12 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「OAAMでのAccess Manager TAP統合プロパティの設定」を参照してください。 |
Access ManagerをOracle Adaptive Access Managerとともに構成する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。 完全なインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを次に示します。
表8-5 統合に必要なコンポーネント
コンポーネント | 情報 |
---|---|
OracleHTTPServer |
HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
Oracle Access Manager 10gまたはAccess Manager 11gエージェント(Webゲート) |
Oracle Access Management 11g Webゲートのインストールについては、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 OAM 10g Webゲートのインストールについては、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のAccess Manager 11gによる10g Webゲートの登録と管理に関する項を参照してください。 |
Oracleデータベース |
Access ManagerおよびOAAMをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。製品をインストールするには、データベースが実行されている必要があります。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 |
Repository Creation Utility(RCU) |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)はOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成に関する項および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 Access ManagerおよびOAAMのデータベース・スキーマを作成するには、RCUをインストールおよび実行する必要があります。 |
Oracle Access Management Access ManagerおよびOracle Adaptive Access Managerのスキーマ |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を実行し、Access ManagerおよびOAAMのスキーマをデータベースにロードしてください。 注意: スキーマを作成する前に、データベースとリスナーが実行されていることを確認してください。 |
Oracle WebLogic Server |
WebLogic Serverをインストールしてください。 この章では、 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成に関する項を参照してください。 |
Access Manager |
Access Managerをインストールおよび構成する必要があります。 インストール時に、Access Managerはデータベース・ポリシー・ストアとともに構成されます。Access ManagerとOracle Adaptive Access Managerの接続には、データベース・ポリシー・ストアが必要です。 Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 |
Oracle Adaptive Access Manager |
Oracle Adaptive Access Managerをインストールおよび構成する必要があります。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 |
必要に応じて、Oracle Access ManagerおよびOracle Adaptive Access Managerを別のドメインまたは同じWebLogicドメインにインストールできます。
複数のドメインに対するインストールでは、oaam.csf.useMBeans
プロパティをtrue
に設定する必要があります。このパラメータの設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Managerコマンドライン・インタフェース・スクリプトに関する項を参照してください。
次の統合手順では、参照用に、Oracle Access Managerが含まれているWLSドメインをOAM_DOMAIN_HOME
、OAAMが含まれているWLSドメインをOAAM_DOMAIN_HOME
として表します。
Identity Management Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
この項でタスクを実行する前に、Access ManagerおよびOAAMの管理コンソールと、管理対象サーバーが実行されていることを確認します。サーバーを再起動するには、次の手順を実行します。
WebLogic管理サーバーを起動します。
OAM_DOMAIN_HOME/bin/startWeblogic.sh
OAAMが異なるドメインにある場合、OAAM_Domain_Home
にあるWebLogic管理サーバーも起動する必要があります。
OAAM_DOMAIN_HOME/bin/startWeblogic.sh
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oam_server1
OAAM管理サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_admin_server1
Oracle Adaptive Access Managerランタイム・サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_server_server1
Access ManagerとOAAMを統合する前に、OAAM管理コンソールが保護されているかどうかを考慮する必要があります。OAAM管理コンソールにアクセスするには、管理ユーザーを作成する必要があります。
OAAM管理コンソールを保護する場合は、外部LDAPストアでユーザーおよびグループの作成を処理する必要があります。詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
または
OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールで管理ユーザーを作成する必要があります。
OAAM管理コンソールの保護を無効にするには、第8.5.5項「OAAM管理コンソールの保護の無効化」を参照してください。
WebLogic管理コンソールで管理ユーザーを作成するには、次の手順に従います。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左側のペインの「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm
)。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード/確認
新規作成したユーザーのuser1
をクリックします。
「グループ」タブをクリックします。
OAAM
キーワードのあるグループをすべて、ユーザーuser1
に割り当てます。
これらのグループを左(使用可能)から右(選択済)に移動します。
「保存」をクリックして、変更を保存します。
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。次の手順に従ってスナップショットをシステムにインポートします。
新たに作成したユーザーでOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
右上隅にある「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」画面が表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
「ファイルの選択」ボタンをクリックします。
スナップショットをロードする準備が整ったので、ロードするスナップショットのファイル名を入力できるダイアログで「参照」ボタンをクリックします。スナップショット・ファイルが配置されているディレクトリにナビゲートする画面が表示されます。「Open」をクリックします。「ロード」ボタンをクリックして、スナップショットをシステムにロードします。
スナップショット・ファイルoaam_base_snapshot.zip
は、OAAMベース・コンテンツが含まれているOracle_IDM1/oaam/init
ディレクトリにあります。
「OK」をクリックします。
これまでに、スナップショットはメモリーにロードされています。スナップショット内のアイテムはまだ有効ではありません。「リストア」ボタンをクリックするまで、スナップショット内のアイテムは適用されません。
スナップショットを適用するには、「リストア」をクリックします。
スナップショットを適用したら、それが「システム・スナップショット」ページに表示されていることを確認します。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。
「Oracle Access Managementへようこそ」ページにアクセスして、Access Managerが正しく設定されていることを確認します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ログインのため、OAMサーバーにリダイレクトされます。
WebLogic管理者ユーザーの名前とパスワードを指定します。
ログインに成功すると、「Oracle Access Managementへようこそ」ページが表示されます。
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。
OAAMサーバーにログインします。
http://host:port/oaam_server
ユーザー名を指定し、「続行」をクリックします。
Oracle Access ManagerとOracle Adaptive Access Managerの統合がまだ行われていないため、testとしてパスワードを指定します。このパスワードは、統合後すぐに変更する必要があります。
仮想認証デバイス上の「入力」ボタンをクリックします。
「続行」をクリックし、新しいユーザーを登録します。
「続行」をクリックして、セキュリティ・デバイス、イメージおよびフレーズを受け入れます。
質問を選択し、回答を指定して、ナレッジベース認証(KBA)の登録を行います。
ログインに成功すれば、初期構成が正しく行われたことになります。
この項では、11g Webゲートの作成および登録方法について説明します。Oracle HTTP Server Webゲートは、Oracle Access Managerとともに使用可能なWebサーバー拡張機能です。Oracle HTTP Server WebGateは、ユーザーのWebリソースに対するHTTPリクエストを捕捉し、認証および認可のためにリクエストをアクセス・サーバーに転送します。Oracle HTTP Server WebGateのインストール・パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアに含まれています。Oracle HTTP Server Webゲートの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle HTTP Server 11g Webgate for Oracle Access Managerのインストールおよび構成に関する項を参照してください。
Oracle Webゲートを構成して登録する前に、次のものがインストールされていることを確認します。
Oracle HTTP Server用のWebLogic Server (WLS_FOR_OHS
)
Oracle HTTP Server (WLS_FOR_OHS/Oracle_WT1
、これをOHS_HOME
と呼びます)
Webゲート(WLS_FOR_OHS/Oracle_OAMWebGate1
、これをWG_HOME
と呼びます)
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle HTTP Server 11g Webgate for Oracle Access Managerのインストールの準備に関する項を参照してください。
Webゲートをインストールしたら、インストール後の手順を実行します。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
保護するアプリケーションをホストするコンピュータに存在するAccess Managerエージェントを登録する必要があります。
エージェントを登録すると、エージェントとAccess Managerエンジンとの間で必要な信頼メカニズムが設定されます。登録されたエージェントは、認証タスクをOAMサーバーに委任します。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
Oracle Access Managementコンソールに移動します。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールを使用して、11g Webゲート・パートナを登録します。
ツール・バーの「編集」ボタンをクリックして、構成ページを表示します。
「アクセス・クライアント・パスワード」を設定し、「適用」をクリックして変更を保存します。確認メッセージのアーティファクトの場所をメモします。
アーティファクトの場所で、ObAccessClient.xml
構成ファイルおよびcwallet.sso
を見つけてOHS_HOME/instances/
instance/config/OHS/
component/webgate/config
ディレクトリにコピーします。
変更内容が反映されるようにWebサーバー(OHS)を再起動します。
OHS_HOME/instances/
instance/bin
ディレクトリにナビゲートします。
次のコマンドを使用して、OHSインスタンスを再起動します。
opmnctl stopall opmnctl startall
パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。OAAMがAccess Managerにパートナ・アプリケーションとして登録されている場合、OAAMは厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を介しAccess Managerと通信して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする役割を果たします。
I認証が成功し、ユーザーに登録済の適切なプロファイルがある場合は、Oracle Adaptive Access Managerによりこのユーザー名のTAPトークンが構成され、Access Managerに戻されます。Access Managerは戻されたトークンをアサートします。トークンをアサートした後、Access ManagerはそのCookieを作成し、通常のシングル・サインオン・フロー(ユーザーを保護されたリソースにリダイレクトする)を続行します。
OAAMサーバーを信頼できるパートナ・アプリケーションとしてAccess Managerに登録するには、次の手順に従います。
Access Manager管理サーバーが実行されていることを確認します。
WLST用に環境を設定します。
IAM_ORACLE_HOME/common/bin
に移動します。
cd IAM_ORACLE_HOME/common/bin
wlst.sh
を実行してWLSTシェルに入ります。
./wlst.sh
Connect
と入力し、WebLogic管理サーバーに接続します。
ユーザー名を入力します。たとえば、admin_username
などです。
パスワードを入力します。たとえば、admin_password
などです。
t3://hostname:portを入力します。
次に例を示します。
t3://AdminHostname:7001
別のターミナル・ウィンドウで、次を実行してkeystore
ディレクトリを作成します。
mkdir IAM_ORACLE_HOME/TAP/TapKeyStore
WLSTシェルを使用して、registerThirdPartyTAPPartner
コマンドを実行します。
registerThirdPartyTAPPartner(partnerName = "partnerName", keystoreLocation= "path to keystore", password="keystore password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
このコマンドは、サード・パーティをTrusted Authentication Protocol (TAP)パートナとして登録します。
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://OAAM_ Managed_server_host:14300/oaam_server/oamLoginPage.jsp")
表8-6 TAPパートナの例
パラメータ | 詳細 |
---|---|
partnerName |
パートナの名前は一意である必要があります。これは、サード・パーティ・パートナの識別に使用する任意の名前にできます。Access Managerにパートナが存在する場合は、その構成が上書きされます。 |
keystoreLocation |
キーストアの場所は既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。キーストア・ファイル名を含む完全なパスを指定する必要があります。前に示した例では、キーストアの場所は "C:\\oam-oaam\\tap\\tapkeystore\\mykeystore.jks" |
password |
キーストアの暗号化に使用するキーストア・パスワード。キーストアは、パラメータkeystoreLocation用に指定した場所でコマンドregisterThirdPartyTAPPartnerを実行することにより作成されます。後で必要になるため、このパスワードをメモします。 |
tapTokenVersion |
Trusted Authentication Protocolのバージョン |
tapScheme |
Trusted Authentication Protocol認証スキーム(すぐに使用できるTAPScheme)。これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Managementコンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順で |
tapRedirectUrl |
サード・パーティのアクセスURL。TAPリダイレクトURLはアクセス可能である必要があります。アクセスできない場合、パートナの登録は失敗し、
OAAMサーバーが実行されていることを確認してください。実行されていない場合、登録は失敗します。資格証明コレクタのページは、OAAMサーバーによって提供されます。 |
exit ()
と入力してWebLogicシェルを終了します。
複数の場所でエージェント・パスワードを指定する必要があります。OAAMでは、統合でエージェント・プロファイルを使用するために、このエージェント・パスワードを必要とします。
Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOAAMによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOAAMで統合に使用される前に、パスワードを設定する必要があります。次のようにします。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ユーザー名とパスワードを入力します。
「システム構成」タブを選択します。
「Access Managerの設定」→「SSOエージェント」を開きます。
「OAMエージェント」をダブルクリックします。
右側のペインに「Webゲート」ページが開かれます。
「検索」をクリックすると、IAMSuiteAgentを含むすべてのWebゲート・エージェントがリストされます。
「IAMSuiteAgent」をダブルクリックし、プロパティを編集します。
「アクセス・クライアント・パスワード」でパスワードを指定し、「適用」をクリックして変更を保存します。
これは必須の手順です。
注意: これでIAMSuiteAgentがパスワード認証付きで「オープン・モード」に表示されます。別のコンソールでIDMドメインのドメイン・エージェントを使用している場合は、ドメイン・エージェント定義を更新してドメイン・エージェントの使用を続行します。
WebLogic管理コンソールにログインします。
http:oam_adminserver_host:port/console
資格証明を入力します。
「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
認証プロバイダのリストからIAMSuiteAgentを選択します。
「プロバイダ固有」をクリックします。
エージェント・パスワードを入力し、そのパスワードを確認します。
これは必須の手順です。
「保存」をクリックします。
左上隅の「変更のアクティブ化」をクリックします。
WebLogic管理サーバー、OAAMの管理サーバーと管理対象サーバー、およびOAMサーバーを再起動します。
TAPパートナ登録を検証するには、次の手順に従います。
Access Managerの構成を検証するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
資格証明を入力します。
コンソールの左側のペインの「ポリシー構成」をクリックします。
左側のペインで、「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
「チャレンジ・メソッド」が「DAP」
で、「認証モジュール」が「DAP」
であることを確認します。
「チャレンジURL」が、OAAMがパートナ・アプリケーションとしてAccess Managerに登録されたときに指定されたtapRedirectUrlの値の一部を示していることを確認します。たとえば、tapRedirectUrl
がhttp://OAAM_Managed_server_host:14300/oaam_server/oamLoginPage.jsp
の場合、「チャレンジURL」は/oaam_server/oamLoginPage.jsp
となります。URLのホストおよびポート番号部分は、チャレンジ・パラメータでパラメータ化されます。「チャレンジ・パラメータ」フィールドに、TAPPartnerId=OAAMPartner
とSERVER_HOST_ALIAS=HOST_ALIAS_1
の両方が表示されます。
チャレンジ・パラメータが正しく設定されていることを確認します。
MatchLDAPAttribute
チャレンジ・パラメータを追加し、これをLDAPアイデンティティ・ストアで指定されたUser Name Attribute
に設定する必要があります。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
資格証明を入力します。
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、チャレンジ・パラメータのエントリを追加します。
たとえば、MatchLDAPAttribute=uid
などです。
MatchLDAPAttribute
を、LDAPアイデンティティ・ストアで指定されたUser Name Attribute
に設定する必要があります。たとえば、uid
、mail
、cn
などとなります。
注意: 「チャレンジ・パラメータ」では大/小文字を区別します。 |
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項を参照してください。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
IAMSuiteAgentの設定を検証するには、次の手順を実行します。
OAMサーバーをホストしている管理対象サーバーを再起動します。
OAMサーバーをホストしている管理対象サーバーを停止します。
OAM_DOMAIN_HOME/bin/stopManagedWeblogic.sh oam_server1
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oam_server1
Oracle Access Managementテスターを起動します。
IAM_ORACLE_HOME/../jdk_version/bin/java -jar IAM_ORACLE_ HOME/oam/server/tester/oamtest.jar
Oracle Access Managementテスター・コンソールが表示されます。
「サーバー接続」セクションで、サーバー接続の詳細を指定します。
IPアドレス: Access Manager管理対象サーバーのホスト
ポート: Oracle Access Management Oracle Access Protocol (OAP)ポート
エージェントID: IAMSuiteAgent
エージェント・パスワード: 「Oracle Access ManagementコンソールでのIAMSuiteAgentプロファイルへのパスワードの追加」で指定したPassword
「サーバー接続」セクションには、OAMサーバーへの接続の確立に必要な情報についてのフィールドが示されます。
「接続」をクリックします。
サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。
保護されたリソースのURIセクションには、保護状態を検証する必要のあるリソースに関する情報が表示されます。
このセクションでは、次のように保護されたリソースのURIを指定します。
ホスト: IAMSuiteAgent
ポート: 80
リソース: /oamTAPAuthenticate
注意:
|
「検証」をクリックします。
リソース検証サーバー・リクエストを送信するには、「検証」ボタンを使用します。検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。
「ユーザー・アイデンティティ」セクションで、User Identity
を指定し、認証をクリックします。認証に成功した場合は、設定が正常に行われています。
このセクションには、資格証明を認証する必要のあるユーザーに関する情報が表示されます。「ユーザーの認証」サーバー・リクエストの送信には「認証」ボタンを使用します。
setupOAMTapIntegration.sh
を実行してTAP統合用にAccess Managerを構成するには、次の手順を実行します。
注意: OAAMコマンドライン・スクリプトの実行に失敗する場合、次のようにスクリプトを実行します。
bash script_name
|
OAAM管理対象サーバーが実行されていることを確認します。
作業ディレクトリを作成します。
mkdir temp cd temp mkdir oaam_cli cd..
OAAMのcli
フォルダを作業ディレクトリにコピーします。
cp -r OAAM_HOME/oaam/cli/. temp/oaam_cli
temp/oaam_cli/conf/bharosa_properties
にあるoaam_cli.properties
をテキスト・エディタで開きます。
gedit temp/oaam_cli/conf/bharosa_properties/oaam_cli.properties
表8-7で説明するプロパティを設定します。
表8-7 OAAM CLIのプロパティ
パラメータ | 詳細 |
---|---|
oaam.adminserver.hostname |
これは、OAAMがインストールされているWebLogic Serverドメインの管理サーバー・ホストです。 |
oaam.adminserver.port |
これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ポートです。 |
oaam.db.url |
これは、次の形式で示されるOAAMデータベースの有効なJDBCのURLです。 jdbc:oracle:thin:@db_host:db_port:db_sid |
oaam.uio.oam.tap.keystoreFile |
これは、 このファイルを、前述のWLSTでパラメータ Windowsでは、ファイル・パスの値をエスケープする必要があります。例: " |
oaam.uio.oam.tap.partnername |
これは、WLST registerThirdPartyTAPPartnerコマンドで使用した「partnerName」です。たとえば、OAAMPartnerなどです。 |
oaam.uio.oam.host |
これは、Access Managerプライマリ・ホストです。 |
oaam.uio.oam.port |
これは、Access ManagerのプライマリOracle Access Protocol (OAP)ポートです。これは、OAMサーバー・ポートです(デフォルト・ポート番号5575)。 |
oaam.uio.oam.webgate_id |
これは、 |
oaam.uio.oam.secondary.host |
セカンダリOAMサーバー・ホスト・マシンの名前です。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
oaam.uio.oam.secondary.host.port |
これは、Access ManagerのセカンダリOAPポートです。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、1(オープン)、2(簡易)、または3(証明書)となります。指定されていない場合、デフォルトは1(オープン)です。 |
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所: DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks これは、セキュリティ・モードが2(簡易)および3(証明書)の場合にのみ必要です。 |
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所: DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks 秘密鍵は、Access ManagerおよびOAAMを簡易モードおよび証明書モードで設定した場合にのみ必要となります。 |
oaam.csf.useMBeans |
複数のドメインに対するインストールでは、oaam.csf.useMBeansプロパティをtrueに設定する必要があります。このパラメータの設定については、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Managerコマンドライン・インタフェース・スクリプトに関する項を参照してください。 |
変更を保存してエディタを終了します。
ミドルウェアおよびJavaホーム環境変数を設定します。
bashの場合:
export ORACLE_MW_HOME=Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed export JAVA_HOME=Location_of_JDK_used_for_the_WebLogic_installation
または
cshの場合:
setenv ORACLE_MW_HOME Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed setenv JAVA_HOME Location_of_JDK_used_for_the_WebLogic_installation
ディレクトリをtemp/oaam_cli/
に変更します。
実行権限を有効にします。
chmod 777 setupOAMTapIntegration.sh
次のコマンドを使用して、OAAM統合設定スクリプトを実行します。
./setupOAMTapIntegration.sh conf/bharosa_properties/oaam_cli.properties
このスクリプトは、OAAMで統合に必要なプロパティを設定します。
コマンドが実行されると、次の情報の入力を求められます。
Weblogic Serverホーム・ディレクトリ: 通常は$ORACLE_MW_HOME/wlserver_10.3
です。
OAAM管理サーバー・ユーザー名: これは、WebLogic Serverドメインの管理サーバー・ユーザー名(通常はweblogic)です。
OAAM管理サーバー・パスワード: これは、管理サーバー・ユーザーのパスワードです。
OAAMデータベース・ユーザー名: OAAMデータベース・ユーザーです。
OAAMデータベース・パスワード: OAAMデータベース・ユーザーのパスワード。
CSFに格納されるAccess Manager Webゲートの資格証明: Webゲートのパスワードを入力します。
Access Manager TAPキーストア・ファイル・パスワード: TAPパートナを登録した際に割り当てられたパスワードです。詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。
簡易モードまたは証明書モードでAccess ManagerとOracle Adaptive Access Managerとの統合を設定すると、次のように追加入力を行う必要があります。
Access Manager秘密鍵証明書キーストア・ファイルのパスワード: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphrase
の実行により取得できます。
Oracle Access Managementグローバル・パスフレーズ: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphrase
の実行により取得できます。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の簡易モードのグローバル・パスフレーズの取得に関する項を参照してください。
OAAM TAPSchemeでリソースを保護するには、次の手順を実行します。
保護する新しいリソースを作成するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
Oracle Access Managementコンソールで「ポリシー構成」タブをクリックします。
左側のパネルで「アプリケーション・ドメイン」をダブルクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「リソース」タブをクリックします。
「新規リソース」ボタンをクリックしてリソースを作成します。
タイプ: http
。HTTPタイプがデフォルトです。HTTPまたはHTTPSプロトコルを使用してアクセスするリソースを扱います。特定のリソースを制御するポリシーがすべての操作に適用されます。
説明: このリソースのオプションの一意の説明。
ホスト識別子: IAMSuiteAgent
リソースURL: 「/」文字で区切られた一連の階層レベルで構成される完全なURLのパス・コンポーネントを表す単一の相対URLとして、URL値を表現する必要があります。リソースのURL値は/で始まり、選択されたホスト識別子のリソース値と一致する必要があります。
たとえば、/higherriskresource
などです。
保護レベル: Protected
「適用」をクリックして、このリソースをアプリケーション・ドメインに追加します。
TAPScheme認証を使用してリソースを保護する新しい認証ポリシーを作成するには、次の手順を実行します。
左側のパネルで「アプリケーション・ドメイン」をダブルクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックし、「認証ポリシーの作成」ボタンをクリックします。
次の一般的なポリシーの詳細を追加します。
名前: 左側のペインで識別子として使用される一意の名前。たとえば、HighPolicyなどです。
認証スキーム: TAPScheme
グローバル・ポリシー要素および指定を追加します。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
リソースを追加します。
リストの中からリソースのURLを選択します。リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
「認証ポリシー」ページで「リソース」タブをクリックします。
タブの「追加」ボタンをクリックします。
リストの中からURLを選択します。たとえば、/higherriskresource
などです。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
ポリシー・レスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティをアサートできる必要があります。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
終了したらページを閉じます。
保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。
この項では、デプロイメントに応じて必要となる可能性のあるその他の構成手順について説明します。
注意: この項の手順は、IAMSuiteAgentアプリケーション・ドメインでTAPschemeを使用する場合にのみ実行する必要があります。 |
IAMスイート・ドメインでIdentity Management製品リソースにTAPscheme、Protected HigherLevel Policy
を使用するには、次の構成を実行する必要があります。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ナビゲーション・ツリーで「アプリケーション・ドメイン」をダブルクリックしてから「検索」をクリックし、検索結果でIAMスイートをクリックします。
Click the 「認証ポリシー」タブをクリックします。
より上位の保護されているポリシーをクリックします。
リソース・ウィンドウで「/oamTAPAuthenticate」をクリックします。
「削除」→「適用」をクリックします。
IAMSuiteアプリケーション・ドメインに新しい認証ポリシーを作成します。
認証スキームに、LDAPスキームを選択します。
リソース・ウィンドウで「追加」をクリックします。
リソース「/oamTAPAuthenticate」を選択します。
「適用」をクリックします。
TAPSchemeスキームの認証レベルを変更するには、次の手順を実行します。
Oracle Access Managementコンソールで「ポリシー構成」タブを選択します。
「共有コンポーネント」を開きます。
「認証スキーム」ノードを開きます。
「TAPScheme」をダブルクリックします。
「認証スキーム」ページで認証レベルを変更します。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
終了したらページを閉じます。
簡易モードでOracle Adaptive Access ManagerとAccess Managerとの統合を設定するには、次の手順に従います。
OAMサーバーとクライアント(Webゲート)間の通信を保護するということは、コンポーネント登録ページ内のOAPチャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。トランスポート・セキュリティ通信モードはAccess Managerのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。
簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、Access Manager 11gサーバーおよびWebゲートはOracle CAにより発行および署名された同じ証明書を使用します。
簡易モード通信用のAccess Managerの構成については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
第8.4.12項「OAAMでのAccess Manager TAP統合プロパティの設定」の手順に従ってください。oaam_cli.propertiesファイルを編集する場合は、表8-7に示したプロパティに加え、次のプロパティを設定します。
表8-8 セキュリティ・モードのプロパティ
パラメータ | 詳細 |
---|---|
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、1(オープン)、2(簡易)、または3(証明書)となります。指定されていない場合、デフォルトは1(オープン)です。 |
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所: DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks これは、セキュリティ・モードが2(簡易)および3(証明書)の場合にのみ必要です。 |
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所: DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks これは、セキュリティ・モードが2(簡易)および3(証明書)の場合に必要です。 |
アイデンティティ・コンテキストにより、組織は、Oracle Access Managementプラットフォームに組み込まれているコンテキストを意識したポリシー管理および認可機能を活用することで、増大するセキュリティの脅威に対応できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールやグループなど)とともに、認証および認可中に確立される動的データ(認証強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
Access ManagerとOAAMとのTAP統合でアイデンティティ・コンテキスト・クレームを使用するには、次の手順に従います。
Domain-home/config/fmw-config/oam-config.xml
で、TAPパートナ名を持つ設定を検索します。Access Managerに対してTAPパートナを登録するときにTAPパートナ名を指定している場合があります。たとえば、OAAMPartner
です。OAAMパートナのTapTokenVersionをv2.0
からv2.1
に変更します。
OAAM管理コンソールからプロパティを追加または編集することにより、OAAM側のバージョン設定をv2.0
からv2.1
に変更します。次のようにします。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.dap_token.version
という名前を持つプロパティを検索し、その値をv2.1
に変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.dap_token.version
で、値がv2.1
である新しいプロパティを追加します。
Access ManagementポリシーのTAPスキームで、TAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
というチャレンジ・パラメータを追加します。それを実行する手順は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、TAPSchemeのチャレンジ・パラメータにTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
を追加します。
保護を提供するIAMSuiteAgentを無効化することによって、OAAM管理コンソールの保護を無効化できます。
このためには、エージェントを無効にする必要があるサーバーに対して、WLSAGENT_DISABLED
システム・プロパティまたは環境変数をtrueに設定する必要があります。
IAMSuiteAgentの無効化方法については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
ステップアップ認証シナリオを無効にする場合、OAAMプロパティ・エディタで次のプロパティをfalse
に設定する必要があります。
oaam.uio.oam.integration.stepup.enabled
デフォルトで、このプロパティはtrue
に設定されています。falseに設定した場合、ユーザーが下位の保護リソースに対して認証された後により上位の保護リソースにアクセスを試みると、資格証明を求められます。
このユース・ケースでは、ログインおよびステップアップ認証フローを設定する方法について説明します。
認証レベルを変更するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
「ポリシー構成」タブをクリックします。
左側のパネルで「TAPScheme」をクリックします。
TAPScheme認証スキームページで、「認証レベル」の値を増加させます。たとえば、値が2
の場合、これを4
に変更します。
TAPSchemeは上位の保護リソースを保護します。
「適用」をクリックして変更を保存します。
左側のペインで、「OAMAdminConsoleScheme」をクリックします。
認証レベル値がTAPSchemeより低いことを確認します。
OAMAdminConsoleSchemeは下位の保護リソースを保護します。
この例では、保護された上位ポリシーからOAAM管理コンソールが削除されます。
左側のペインの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックします。
より上位の保護されているポリシーをクリックします。
「リソース」タブで、/oaam_admin/**を削除し、「適用」をクリックして変更を適用します。
TAPSchemeを使用して新しいポリシーを作成し、上位の保護リソースとしてOAAMを保護します。
「認証ポリシー」タブの「認証ポリシーの作成」ボタンをクリックします。
「認証ポリシー」ページで、名前フィールドにポリシー名を指定します。たとえば、TestPolicy
などです。
「認証スキーム」で、プルダウンから「TAPScheme」を選択します。
「リソース」タブをクリックします。
「追加」アイコンをクリックして新しいリソースを作成します。
「検索」ウィンドウで「検索」をクリックします。
リソースとして「/oaam_admin/**」を選択します。
「適用」をクリックして認証ポリシーを作成します。
これで、上位の保護リソースはTAPSchemeで保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleSchemeで保護されたOracle Access管理コンソールとなります。
ユーザーの作成方法の詳細は、第8.4.4項「OAAM管理ユーザーおよびOAAMグループの作成」を参照してください。
この項では、ユーザーがその仮想認証デバイスとチャレンジ質問を登録するログイン・フローの例を示します。この例は、第8.6.1項「TAPSchemeの認証レベルの変更」から第8.6.4項「新しいOAAMユーザーの作成」までで実行した設定に基づいています。
ログイン・フローは次のとおりです。
WebブラウザでURLを入力して、保護リソースであるOAAM管理コンソールにアクセスします。
Access Managerユーザー名ページが表示されます。
OAAMサーバーにリダイレクトされます。
Access Managerのユーザー・ページで、ユーザー名を入力し、「続行」をクリックします。
パスワードを入力するためのTextPadによるパスワード・ページが表示されます。
パスワードを入力し、「入力」をクリックします。
「続行」をクリックし、ユーザーのプロファイルの登録を開始します。
セキュリティ・デバイスを選択し、「続行」をクリックします。
チャレンジ質問を登録します。
保護リソースであるOAAM管理コンソールへのアクセスが許可されます。
この項では、第8.6.5項「ログイン・フローの例」でプロファイルを登録して上位の保護リソースへのアクセスを許可されたユーザーのステップアップ認証フローの例を示します。この例は、第8.6.1項「TAPSchemeの認証レベルの変更」から第8.6.4項「新しいOAAMユーザーの作成」で実行された設定に基づいています。
ステップアップ認証フローは次のとおりです。
WebブラウザでURLを入力して、下位の保護リソースであるOracle Access Managementコンソールにアクセスします。
よりリスクの低いリソースにアクセスすると、ユーザー名とパスワードが同じページに表示されるOracle Access Managementログイン・ページが示されます。
プロファイルを登録したユーザーの資格証明を入力し(第8.6.5項「ログイン・フローの例」を参照)、「ログイン」をクリックします。
資格証明を提供し、正常に認証されると、下位の保護リソースであるOracle Access Managementコンソールへのアクセスが可能となります。
WebブラウザでURLを入力して、上位の保護リソースであるOAAM管理コンソールにアクセスします。
すでに認証されているため、OAMサーバーではログイン・ページは表示されません。ただし、OAAMでは不正検出ポリシーが実行されません。
リスクが低いとOAAMが判断すると、上位の保護リソースであるOAAM管理コンソールにアクセスできるようになります。
この項では、Oracle Adaptive Access ManagerとAccess Managerとの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。一般的な問題のタイプごとにまとめられており、その内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
ここでは、OAAMとAccess Managerとの基本統合に関係する統合問題の解決策を示します。
OAAMとAccess Managerの基本統合では、保護リソースにアクセスすると、OAAMページに転送されます。
原因
Microsoft Internet Explorer 7を使用している場合、ユーザー名を入力して「送信」をクリックすると、パスワード・ページに自動的にリダイレクトされずに、次のページ(/oam/pages/oaam/handleLogin.jsp)から進まなくなります。
解決策
この問題を解決するには、次の回避策を使用できます。
「続行」リンクをクリックすると、/oam/pages/oaam/handleJump.jsp?clientOffset=-7が表示されます。
OAAMとAccess Managerとの基本統合フローでは、エラーが発生します。
原因
OAAMEnabled値が不適切に構成されます。
解決策
OAAMとAccess Managerとの基本統合が有効化された環境では、oam-config.xmlの下にある次のエントリOAAMEnabled
がtrue
に設定される必要があります。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> </Setting> ...
OAAMとAccess Managerとの基本統合フローでエラーが発生したら、このフラグの値をチェックします。新しいOracle Internet Directoryを作成し、それをOAAMBasicスキームに関連付けるなど、特定の環境(Windows)またはシナリオでは、元のフローが破損する可能性があります。OAAMとAccess Managerとの基本統合は、OAAMEnabled
フラグがfalse
にリセットされるため、機能しません。
OAAMとAccess Managerとの基本統合では、Access Managerへの登録中に、チャレンジ質問を登録すると、モバイル番号を入力するための連絡先ページに転送されます。
この統合モードでは、OTPがサポートされていないため、このページは重要ではありません。次の形式でモバイル番号を入力して「送信」をクリックすることによって、登録を完了します。
:09900502139
原因
OAAMチャレンジポリシーではなく、OAAMチャレンジSMSポリシーが実行されるように構成されています。
解決策
この問題を解決するには、OAAMチャレンジSMSポリシーをOAAMチャレンジ・ポリシーに置き換えて、OTPへのチャレンジ・フロー・リクエストを回避します。
「OAAMチャレンジ・ポリシー」を検索します。
「アクション・グループ」で、見つかったすべての「OAAMチャレンジSMS」を「OAAMチャレンジ」に置き換えます。
ポリシーを保存します。
configureOAAM
のWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーおよびoam-config.xml
ファイルのOAAMEnabled
プロパティに関連付けることができます。構文は次のとおりです。
configureOAAM(dataSourceName,paramNameValueList)
説明:
dataSourceName
は、作成するデータソースの名前です。
paramNameValueList
は、パラメータ名と値のペアからなるカンマ区切りリストです。名前と値の各ペアの形式は次のとおりです。
paramName='paramValue'
必須のパラメータは次のとおりです。
hostName
- データベース・ホストの名前
port
- データベース・ポート
sid
- データベース識別子(データベースSID)
userName
- OAAMスキーマ名
passWord
- OAAMスキーマ・パスワード
オプションのパラメータは次のとおりです。
maxConnectionSize
- 最大接続予約タイムアウト・サイズ
maxPoolSize
- 接続プールの最大サイズ
次に例を示します。
configureOAAM(dataSourceName = "MyOAAMDS", hostName = "host.us.co.com", port = "1521", sid = "sid", userName = "username", passWord = "password", maxConnectionSize = None, maxPoolSize = None, serverName = "oam_server1")
注意:
|
ここではログインの問題の解決策を提供します。
ネイティブ認証フローでASCII以外のユーザー名またはパスワードを使用すると、次のようなメッセージが表示されます。
Sorry, the identification you entered was not recognized. Please try again.
原因
資格証明内に非ASCII文字があります。
解決策
問題を解決するには、次のようにします。
PRE_CLASSPATH変数を${ORACLE_HOME}/common/lib/nap-api.jar
に設定します。
Cシェルの場合:
setenv ORACLE_HOME "IAMSUITE INSTALL DIR"
setenv PRE_CLASSPATH "${ORACLE_HOME}/common/lib/nap-api.jar"
bash/kshシェルの場合:
export ORACLE_HOME=IAMSUITE INSTALL DIR
export PRE_CLASSPATH="${ORACLE_HOME}/common/lib/nap-api.jar"
OAAM_SERVER
に関連する管理対象サーバーを起動します。
Access ManagerとOracle Adaptive Access Managerで正常に認証された後に、登録されたユーザーが登録したものと異なる大文字/小文字の組合せでユーザー名を入力すると、再度プロファイルを登録するように求められます。
原因
ユーザー名では大文字と小文字が区別されます。デフォルトでは、ユーザーが登録されたユーザーとは異なる大文字/小文字の組合せでユーザー名を入力すると、OAAMサーバーはそのユーザーを未登録と見なします。たとえば、ユーザーuserxy
がユーザー名をuserXY
と入力してログインを試みると、プロファイルを再度登録するように求められます。
解決策
OAMとOAAMの両方のサーバーでログインが成功するようにするには、ユーザー名の大/小文字を区別しないようにOAAMサーバーを構成する必要があります。このためには、次のプロパティを設定します。
bharosa.uio.default.username.case.sensitive=false
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
構成でCookieドメインの値が正しくない場合、ログインが失敗することがあります。
正しくWebゲートを操作するには、プロパティoaam.uio.oam.obsso_cookie_domain
がAccess Managerの対応する値に一致するように設定されていることを確認します。
ここではアイデンティティ・ストアの問題の解決策を提供します。
ユーザーはログインに失敗します。
原因
アイデンティティ・ストアのユーザー名属性がcnではない場合、ログインは失敗します。
解決策
この問題を修正する方法は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://
oam_adminserver_host:oam_adminserver_port/oamconsole
左側のパネルで「TAPScheme」をクリックします。
TAPScheme認証スキームをダブルクリックします。
「TAPScheme」ページで、チャレンジ・パラメータMatchLDAPAttribute
を追加し、値をアイデンティティ・ストアで指定したユーザー名属性に設定します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、uid
、mail
、cn
などに設定できます。
ユーザー名属性がuid
の場合は、MatchLDAPAttribute=uid
を追加します。
注意: 既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押す必要があります。 |
「適用」をクリックして変更を送信します。
認証は成功しても、最後のリダイレクトが次のエラーで失敗します。
Module oracle.oam.user.identity.provider Message Principal object is not serializable; getGroups call will result in an extra LDAP call Module oracle.oam.engine.authn Message Cannot assert the username from DAP token Module oracle.oam.user.identity.provider Message Could not modify user attribute for user : cn, attribute : userRuleAdmin, value : {2} .
原因
複数のアイデンティティ・ストアを伴う統合シナリオでは、デフォルト・ストアとして設定されたユーザー・アイデンティティ・ストアが認証およびアサーションに使用されます。
Access ManagerとOAAMのTAPを使用した統合では、TAPScheme認証スキームのアサーションはデフォルト・ストアに対して行われます。この場合、LDAPモジュールに対して行われるバックエンド・チャネル認証では、特定のユーザー・アイデンティティ・ストア(たとえば、OID)が使用されます。ユーザー名がAccess Managerに返されると、アサーションはデフォルト・ストア(認証に使用されたものとは異なるOID)に対して行われます。
注意: セッション偽装のため、ユーザーおよび権限付与に使用されるOracle Internet Directoryインスタンスはデフォルト・ストアである必要があります。 |
解決策
異なるストアを指すようにデフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。
登録済ユーザーがLDAPから削除されても、登録済ステータス・レコードはOAAMデータベース内に残ります。そのユーザーが再度LDAPに追加された場合、OAAMデータベースとLDAPが同期されていないため、古い画像、フレーズおよびチャレンジ質問が使用されます。
この項では、その他の問題の解決策およびヒントを提供します。
統合に失敗する場合、Oracle Access Managementコンソールを使用してTokenValiditySecondsを増加させます。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
左側のパネルで「TAPScheme」をクリックします。
「TAPScheme」ページで、チャレンジ・パラメータTotalValiditySeconds
を追加し、値を目的の数に設定します。デフォルト値は1秒です。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、TotalValiditySeconds=4
のようにします。
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
oam-config.xml
ファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME/config/fmwconfig
ディレクトリにあります。
テキスト・エディタでoam-config.xml
ファイルを開きます。
vi DOMAIN_HOME/config/fmwconfig/oam-config.xml
OAAMPartner
を検索します。
TapTokenVersion
の値をv2.0
からv2.1
に変更します。
変更内容を保存します。
:wq!
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」ノードの下の「プロパティ」をクリックします。
「プロパティ」ページで「新規プロパティ」ボタンをクリックします。
新しいプロパティを次のように指定します。
名前: oaam.uio.oam.dap_token.version
値: v2.1
「作成」をクリックします。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
左側のペインで、「TAPScheme」認証スキームをダブルクリックします。
「TAPScheme」ページで、チャレンジ・パラメータTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
を追加します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合でOAAMAdvanced認証スキームによって保護されたリソースにアクセスすることはできません。
原因
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合で、統合を適切に機能させるには、OAAMのパスワードと、この章に示されたパラメータに加えていくつかのパラメータを設定する必要があります。
解決策
この問題を解決するには、次のようにします。
OAAMのWebゲート・パスワードを設定します。
oaam.uio.oam.authenticate.withoutsession
をfalse
に設定します。デフォルトでは、これはtrue
に設定されています。