| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
前 |
次 |
Oracle Adaptive Access Manager (OAAM)とOracle Access Management Access Manager (Access Manager)を統合すると、認証プロセスを細かく制御して、Oracle Adaptive Access Managerポリシーに対する認証前および認証後チェックの全機能を使用できるようになります。
この章では、Oracle Adaptive Access ManagerをOracle Access Management Access Manager (Access Manager)と統合し、リスクベースの認証によりリソースを保護する方法について説明します。
この章では、次の内容を説明します。
|
注意: Oracle Identity Managerの統合では、パスワード収集に関連する追加機能が提供されます。詳細は、第9章「Access Manager、OAAMおよびOIMの統合」を参照してください。 |
Oracle Access Management Access Manager (Access Manager)は、Webシングル・サインオン(SSO)、認証、認可、ポリシーとエージェントの集中管理、リアルタイム・セッション管理および監査のコア機能を提供します。
Oracle Adaptive Access Manager 11gでは、重要なオンライン・ビジネス・アプリケーションを、強力でありながら導入が容易なリスクベースの認証、フィッシング対策およびマルウェア対策機能によって保護します。
この統合シナリオにより、Access Managerを使用してリソースへのアクセスを制御し、Oracle Adaptive Access Managerを使用して強力なマルチファクタ認証と事前対応型のリアルタイムな詐欺防止を実現できるようになります。拡張ログイン・セキュリティには、仮想認証デバイス、デバイスのフィンガープリント、リアルタイム・リスク分析およびリスクベースのチャレンジが含まれます。
Oracle Adaptive Access ManagerとAccess Managerは、次の2通りの方法のいずれかで統合できます。
OAAMとAccess Managerとの基本統合
OAAMとAccess Managerとの拡張統合
各デプロイメントでサポートされるシナリオおよび各シナリオを実現するフローの詳細は第1.5項「一般的な統合のシナリオ」を参照してください。
表8-1は、Access ManagerとOracle Adaptive Access Managerの統合タイプをまとめたものです。
表8-1 Access ManagerとOracle Adaptive Access Managerとの統合のタイプ
| 詳細 | 基本統合 | 拡張統合 | TAPを使用した拡張統合 |
|---|---|---|---|
|
使用可能 |
11.1.1.3.0以上 |
11.1.1.3.0およびOAAM (11.1.1.5以前) 11gリリース1 (11.1.1)のバージョンのOAAMのAccess Managerとの拡張統合については、このバージョンの『Oracle Fusion Middleware Oracle Access Manager統合ガイド』を参照してください。 |
11.1.1.5.0以上 OAAMとAccess Managerとの拡張統合では、TAPを使用したAccess ManagerとOAAMとの統合がサポートされています。 |
|
機能 |
認証スキーム、デバイスのフィンガープリント、リスク分析およびナレッジベース認証(KBA)チャレンジ・メカニズム。 この統合で使用できるチャレンジ・メカニズムは、KBAのみです。 異なるフロー(チャレンジ、登録、その他のフローなど)のライブラリおよび構成インタフェース。Oracle Adaptive Access Managerから使用できる、ログイン・セキュリティの数多くのユース・ケース |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 必要に応じて、システム・インテグレータを介して、Oracle Adaptive Access Managerとサード・パーティ・ツールのシングル・サインオン製品を統合できます。 |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム、およびステップアップ認証などその他の高度なセキュリティ・アクセス機能。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 必要に応じて、システム・インテグレータを介して、Oracle Adaptive Access Managerとサード・パーティのシングル・サインオン製品を統合できます。 |
|
OAAMサーバー |
OAAMサーバーはAccess Managerに埋め込まれるため、拡張統合よりフットプリントが小さくなります。 個別のOAAMサーバーは必要ありません。 Oracle Adaptive Access Managerの拡張ライブラリは、埋込みOAMサーバーにバンドルされ、直接使用されます。 ライブラリでは、ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能が提供されます。ユーザーが登録フローに入ると、Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。 |
必要なOracle Adaptive Access Managerの完全統合 OAAMサーバーには個別の管理対象サーバーが必要です。 |
必要なOracle Adaptive Access Managerの完全統合 OAAMサーバーには個別の管理対象サーバーが必要です。 |
|
OAAM管理サーバー |
必須 OAAM管理サーバーは、Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびOracle Adaptive Access Manager機能の構成に使用されます。 |
必須 |
必須 |
|
OAAMデータベース |
必須 |
必須 |
必須 |
|
サポートされているエージェント |
10g Webゲートおよびシングル・サインオン(OSSO)エージェント |
10g Webゲート |
10gまたは11g Webゲート |
|
認証スキーム |
OAAMBasic チャレンジ・パラメータ:
仕様:
OAAMBasicスキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
OAAMAdvanced 仕様:
OAAMAdvancedスキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
TAPScheme チャレンジ・パラメータ:
仕様:
TAPSchemeスキームの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
|
参照先 |
第8.3項「OAAMとAccess Managerとの基本統合」を参照してください。 |
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』 11g リリース1 (11.1.1)を参照してください。 |
第9章「Access Manager、OAAMおよびOIMの統合」を参照してください。 |
認証フローの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMの認証、パスワード管理およびカスタマ・ケアのフローに関する項を参照してください。
この項では、この統合に関係する主な定義、頭文字および略語を示します。
表8-2 拡張統合に関する用語
ネイティブ統合であるOAAMとAccess Managerとの基本統合では、Identity Management Middleware WebLogicドメイン内のOAMサーバーとOAAM管理サーバー、および動作するOAAMデータベースが必要です。この統合で使用できるチャレンジ・メカニズムは、ナレッジベース認証(KBA)のみです。
OAAM管理サーバーは、Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびOracle Adaptive Access Manager機能の構成に使用されます。ポリシーがインポート、エクスポートまたは構成されると、その変更がOAAMデータベースに保存されます。
Oracle Adaptive Access Managerは、拡張機能ライブラリを通じてAccess Managerに統合され、これらを直接使用します。このデプロイメントでは、ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能は、これらのライブラリを使用して提供されるため、OAAMサーバーは必要ありません。ユーザーが登録フローに入ると、Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。
この項では、OAAMとAccess Managerとの基本統合の構成方法について説明します。
次のトピックでは、このタイプの統合を実装する方法について説明します。
Oracle Adaptive Access ManagerとAccess Managerを統合する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
|
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。 完全なインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表8-3に、統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを示します。
表8-3 統合に必要なコンポーネント
| コンポーネント | 情報 |
|---|---|
|
Oracleデータベース |
Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。データベースは、Oracle Identity and Access Managementコンポーネントのインストール先と同じシステム上にある必要はありません。 データベース要件の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 保証されたデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントのデータベース要件に関するトピックを参照してください。 |
|
Oracle WebLogic Server |
Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。 |
|
Access ManagerおよびOracle Adaptive Access Managerのスキーマ |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を実行し、Access ManagerおよびOracle Adaptive Access Managerのスキーマを作成してください。 注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)コンポーネントのデータベース・スキーマをインストールする前に、Oracle Fusion Middleware Repository Creation Utility (RCU)の11gリリース2 (11.1.2.1.0)バージョンを使用する必要があります。 Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)はOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 Oracle DatabaseのRCU要件の詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントでOracle DatabaseのRCU要件に関する項を参照してください。 |
|
Access ManagerとOracle Adaptive Access Manager |
Access ManagerおよびOracle Adaptive Access Managerをインストールします。 Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 Oracle Identity Management 11g Fusion Middleware構成ウィザードを実行して、Oracle Adaptive Access ManagerおよびAccess Managerを新しいWebLogicドメインまたは既存のWebLogicドメインで構成します。これらは同じドメインに配置することも、別のドメインに配置することもできます。 Oracle WebLogic Server管理ドメインの詳細は、『Oracle Fusion Middleware Oracle WebLogic Server ドメイン構成の理解』のOracle WebLogic Serverドメインの理解に関する項を参照してください。 構成ウィザードを使用したWebLogic Serverドメインの作成または拡張方法の詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』を参照してください。 注意: ソフトウェアにパッチを適用して最新バージョンにする必要もあります。 |
Access ManagerとOracle Adaptive Access Managerの統合を実装するには、この項の手順に従います。
アプリケーションを保護するポリシーの作成
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
「IDMDomainAgent」の下の「リソース」を選択します。
保護されたリソースを追加します。
たとえば、リソースの次の情報を指定します。
ホスト識別子: IDMDomain
リソースURL: /resource/.../*
新しい認証ポリシーの作成
「IDMDomainAgent」で新しい認証ポリシーを作成し、認証スキームをOAAMBasicに設定します。
この手順では、保護されたリソースをOAAMBasic認証スキームに関連付けています。
左側のペインで「アプリケーション・ドメイン」をダブルクリックしてから「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックし、「認証ポリシーの作成」ボタンをクリックします。
次の一般的なポリシーの詳細を追加します。
名前: 左側のペインで識別子として使用される一意の名前。たとえば、HighPolicyなどです。
認証スキーム: OAAMBasic
グローバル・ポリシー要素および指定を追加します。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
リソースを追加します。
リストの中からリソースのURLを選択します。リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
「認証ポリシー」ページで「リソース」タブをクリックします。
タブの「追加」ボタンをクリックします。
リストの中からURLを選択します。たとえば、/higherriskresourceなどです。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
ポリシー・レスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティティをアサートできます。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
終了したらページを閉じます。
新しい認可ポリシーの作成
新しい認可ポリシーを作成します。
左側のペインで「認可ポリシー」をダブルクリックしてから「作成」ボタンをダブルクリックします。
認可ポリシーの一意の名前を入力します。
「リソース」タブで、「追加」ボタンをクリックします。
提供されたリストから、リソースURLをクリックします。
リソースURL: IDMDomain:/resource/.../*
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
OAAM管理コンソールにログインする権限を持つユーザーの作成
デフォルトで、OAAM管理コンソールにログインする適切な権限を持つユーザーはありません。OAAM管理コンソールにログインするための適切な権限があるユーザーを作成し、必要なグループをそのユーザーに付与する必要があります。
WebLogicドメインのOracle WebLogic管理コンソールにログインします。
左側のペインの「ドメイン構造」で、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm)。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード/確認
新規作成したユーザーのuser1をクリックします。
「グループ」タブをクリックします。
OAAMキーワードのあるグループをすべて、ユーザーuser1に割り当てます。
これらのグループを左(使用可能)から右(選択済)に移動します。
「保存」をクリックします。
oam-config.xmlの変更
oam-config.xmlファイルを見つけて手動で変更します。
oam-config.xmlファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME/config/fmwconfigディレクトリにあります。
次の例に示されているように、OAAMEnabledプロパティをtrueに設定します。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> <Setting Name="passwordPage" Type="xsd:string">/pages/oaam/password.jsp</Setting> <Setting Name="challengePage" Type="xsd:string">/pages/oaam/challenge.jsp</Setting> <Setting Name="registerImagePhrasePage" Type="xsd:string">/pages/oaam/registerImagePhrase.jsp</Setting> <Setting Name="registerQuestionsPage" Type="xsd:string">/pages/oaam/registerQuestions.jsp</Setting>
configureOAAMのWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーに関連付けます。oam-config.xmlでそのプロパティを有効化する場合は、「OAAMとAccess Managerとの基本統合におけるconfigureOAAMのWLSTコマンドを使用したデータソースの作成」を参照してください。
OAAM管理サーバーの起動
OAAM管理サーバーのoaam_admin_server1を起動し、新しく作成した管理対象サーバーをドメインに登録します。
DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_admin_server1
OAAMスナップショットのインポート
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。次の手順に従ってスナップショットをシステムにインポートします。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
次の手順に従って、スナップショット・ファイルをMW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリからシステムにロードします。
左側のペインで、「環境」ノードの下の「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」画面が表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。
oaam_base_snapshot.zipを参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
デフォルトのoaam_base_snapshot.zipは、OAAM_HOME/oaam/initディレクトリにあります。
「OK」→「リストア」をクリックします。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。
OAAM管理サーバーのシャットダウン
OAAM管理サーバーのoaam_admin_server1をシャットダウンします。
DOMAIN_HOME/bin/stopManagedWeblogic.sh oaam_admin_server1
データソースの作成
Oracle WebLogic管理コンソールにログインします。
http://weblogic_admin_server:7001/console
Oracle Adaptive Access ManagerがAccess Managerと同じWebLogicドメイン内に構成されていない場合は、Access Managerに対して次の手順を実行します。
次のJNDI名のデータソースを作成します。
jdbc/OAAM_SERVER_DB_DS
|
注意: データソースの名前には任意の有効な文字列を使用できますが、JNDI名は前述のものと同じである必要があります。 |
Oracle Adaptive Access Manager構成の一環として作成したスキーマに対して、OAAMデータベースの接続詳細を指定します。
「サービス」→「データベース・リソース」をクリックし、「OAAM_SERVER_DB_DS」リソースを見つけます。
WebLogic管理コンソールの左上隅にある「ロック」ボタンをクリックして、環境をロックします。
OAAM_SERVER_DB_DSリソースを開き、「ターゲット」タブをクリックします。そこに使用可能なWebLogicサーバーのリストが表示されます。
「管理サーバー」および「oam_server1」をターゲットとしてデータソースに関連付けます。
Oracle WebLogic管理コンソールの左上隅にある「アクティブ化」ボタンをクリックします。
構成のテスト
構成を確認するために、それぞれ1つのリソースを保護している2つのエージェントをリモート登録します。
Oracle Access Managementコンソールを使用して、最初のリソースを認証フローのOAAMBasicポリシーに関連付けます。2つ目のリソースをLDAPSchemeに関連付けます。
|
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項 |
これまでに構成済の保護されたリソースにアクセスして、構成を検証します。
ユーザー名を入力するプロンプトが表示されます。さらに別画面でパスワードを入力するプロンプトが表示されます。
ユーザー名およびパスワードが検証されたら、3つのチャレンジ質問を選択し、これらに回答するように求められます。完了後に、保護されたアプリケーションが表示されます。
Oracle Adaptive Access ManagerをAccess Managerと統合すると、企業は、アプリケーションの保護のレベルを大幅に向上させる高度なアクセス・セキュリティ機能を使用できるようになります。フィッシング対策、マルウェア対策、デバイス・フィンガープリント、動作プロファイリング、地理的位置マッピング、リアルタイム・リスク分析、複数のリスク・ベースのチャレンジ・メカニズム(ワンタイム・パスワードおよびナレッジベース認証質問など)の各機能により、アクセス・セキュリティのレベルを向上させることができます。
この項では、Oracle Adaptive Access ManagerとAccess Managerを拡張統合として統合する方法について説明します。
Access ManagerとOAAMとのTAP統合では、OAAM Serverは信頼できるパートナ・アプリケーションとして動作します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信します。するとOAMサーバーがユーザーを保護されたリソースにリダイレクトします。
OAAMとAccess Managerとの拡張統合シナリオには、Oracle Identity Managerがあるものとないものがあります。
Oracle Identity Managerあり
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。
統合の詳細は、第9章「Access Manager、OAAMおよびOIMの統合」を参照してください。
Oracle Identity Managerなし
環境にOracle Identity Managerが含まれていない場合は、この章で説明されている統合手順に従います。
表8-4は、Oracle Adaptive Access ManagerとAccess Managerとの統合のための大まかなタスクのリストです。
この構成手順では、Oracle Adaptive Access ManagerとAccess Managerをすぐに使用できる統合を使用して統合することを前提としています。
表8-4 Access ManagerとOracle Adaptive Access Managerとの統合フロー
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「OAAMとAccess Managerとの拡張統合の前提条件」を参照してください。 |
|
2 |
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
|
3 |
OAAMユーザーを作成します。OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。 |
詳細は、「OAAM管理ユーザーおよびOAAMグループの作成」を参照してください。 |
|
4 |
OAAMベース・スナップショットをインポートします。Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、スナップショットをシステムにインポートする必要があります。 |
詳細は、「Oracle Adaptive Access Managerスナップショットのインポート」を参照してください。 |
|
5 |
Access Managerが正しく設定されたことを確認します。Oracle Access Managementコンソールに正常にログインできる必要があります。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
|
6 |
OAAMが正しく設定されたことを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
|
7 |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。 |
詳細は、「Oracle Access Managementコンソールを使用したWebゲートのAccess Manager 11gへの登録」を参照してください。 |
|
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。 |
詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。 |
|
9 |
エージェント・パスワードを追加します。Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOracle Adaptive Access Managerによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOracle Adaptive Access Managerで統合に使用される前に、パスワードを設定する必要があります。 |
詳細は、「IAMSuiteAgentプロファイルへのパスワードの追加」を参照してください。 |
|
10 |
IAMSuiteAgentを更新します。 |
詳細は、「別のコンソールのドメイン・エージェントを使用した場合のドメイン・エージェント定義の更新」を参照してください。 |
|
11 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
|
12 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「OAAMでのAccess Manager TAP統合プロパティの設定」を参照してください。 |
|
13 |
OAAM TAPSchemeを使用するように統合を構成して、IAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護します。 |
詳細は、「TAPSchemeを使用してIAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護するための統合の構成」を参照してください。 |
|
14 |
ポリシーで保護されたリソースのポリシーでOAAM TAPSchemeを使用してリソースが保護されるように認証スキームを構成します。 |
詳細は、「TAPSchemeにより保護されるリソースの構成」を参照してください。 |
|
15 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合の検証」を参照してください。 |
Oracle Adaptive Access ManagerをAccess Managerとともに構成する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
|
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。 完全なインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表8-5に、統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを示します。
表8-5 統合に必要なコンポーネント
| コンポーネント | 情報 |
|---|---|
|
Oracle HTTP Server |
HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。 |
|
Oracle Access Manager 10gまたはAccess Manager 11gエージェント(Webゲート) |
Oracle Access Management 11g Webゲートのインストールの詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g WebGate for OAMのインストールと構成に関する項を参照してください。 Oracle Access Manager 10g Webゲートのインストールの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。 注意: Oracle HTTP Server 11gリリース2 WebGate for Access Managerは、Oracle IdentityコンポーネントとAccess Managementコンポーネント間の統合を設定するOracle Identity and Access Management環境での使用を意図したものではありません。 |
|
Oracleデータベース |
Access ManagerおよびOracle Adaptive Access Managerをインストールする前に、システムにOracle Databaseがインストールされていることを確認してください。製品をインストールするには、データベースが実行されている必要があります。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 保証されたデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントのデータベース要件に関するトピックを参照してください。 |
|
Repository Creation Utility (RCU) |
リポジトリ作成ユーティリティ(RCU)をインストールします。Access ManagerおよびOAAMのデータベース・スキーマを作成するために必要です。 RCUはOracle Technology Network (OTN) Webサイトで入手できます。注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)コンポーネントのデータベース・スキーマをインストールする前に、RCUの11gリリース2 (11.1.2.1.0)バージョンを使用する必要があります。RCUの使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成に関する項および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 Oracle DatabaseのRCU要件の詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントでOracle DatabaseのRCU要件に関する項を参照してください。 |
|
Access ManagerおよびOracle Adaptive Access Managerのスキーマ |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を実行し、Access ManagerおよびOracle Adaptive Access Managerのスキーマをデータベースにロードしてください。 注意: スキーマを作成する前に、データベースとリスナーが実行されていることを確認してください。 |
|
Oracle WebLogic Server |
WebLogic Serverをインストールします。 Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。 |
|
Access Manager |
Access Managerをインストールおよび構成します。 インストール時に、Access Managerはデータベース・ポリシー・ストアとともに構成されます。Access ManagerとOracle Adaptive Access Managerの接続には、データベース・ポリシー・ストアが必要です。 新規または既存のWebLogicドメインでのAccess Managerの構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managerの構成に関する項を参照してください。 さらに、Access ManagerをOPENモード、SIMPLEモードまたはCERTモードで構成する方法については、Oracle Fusion Middleware Oracle Access Manager管理者ガイドの通信の保護に関する項を参照してください。 |
|
Oracle Adaptive Access Manager |
Oracle Adaptive Access Managerをインストールおよび構成します。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 |
必要に応じて、Oracle Access ManagerおよびOracle Adaptive Access Managerを別のWebLogicドメインまたは同じWebLogicドメインにインストールできます。
Oracle WebLogic Server管理ドメインの詳細は、『Oracle Fusion Middleware Oracle WebLogic Server ドメイン構成の理解』のOracle WebLogic Serverドメインの理解に関する項を参照してください。
構成ウィザードを使用したWebLogic Serverドメインの作成または拡張方法の詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』を参照してください。
複数のドメインに対するインストールでは、oaam.csf.useMBeansプロパティをtrueに設定する必要があります。このパラメータの設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』の資格証明ストア・フレームワーク(CSF)構成の設定に関する項を参照してください。
Identity Management Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
この項のタスクを実行する前に、Oracle Access ManagementコンソールおよびOAAM管理コンソールと管理対象サーバーが稼働していることを確認します。サーバーを再起動するには、次の手順を実行します。
WebLogic管理サーバーを起動します。
OAM_DOMAIN_HOME/bin/startWeblogic.sh
OAAMが異なるWebLogicドメインにある場合、OAAM_Domain_HomeにあるWebLogic管理サーバーも起動する必要があります。
OAAM_DOMAIN_HOME/bin/startWeblogic.sh
OAM_DOMAIN_HOMEはAccess Managerを含むWebLogicドメイン、OAAM_DOMAIN_HOMEはOAAMを含むWebLogicドメインです。
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME/bin/startManagedWeblogic.shoam_server1
OAAM管理サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_admin_server1
Oracle Adaptive Access Managerランタイム・サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME/bin/startManagedWeblogic.shoaam_server_server1
Oracle Adaptive Access ManagerとAccess Managerを統合する前に、OAAM管理コンソールが保護されているかどうかを考慮する必要があります。OAAM管理コンソールにアクセスするには、管理ユーザーを作成する必要があります。
OAAM管理コンソールを保護する場合は、外部LDAPストアでユーザーおよびグループを構成します。詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
または
OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールを使用して管理ユーザーを作成します。
OAAM管理コンソールの保護を無効にするには、第8.5.5項「OAAM管理コンソールの保護の無効化」を参照してください。
WebLogic管理コンソールで管理ユーザーを作成するには、次の手順に従います。
WebLogicドメインのOracle WebLogic管理コンソールにログインします。
左側のペインの「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm)。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード/確認
新規作成したユーザーのuser1をクリックします。
「グループ」タブをクリックします。
OAAMキーワードのあるグループをすべて、ユーザーuser1に割り当てます。
これらのグループを左(使用可能)から右(選択済)に移動します。
「保存」をクリックして、変更を保存します。
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、Oracle Adaptive Access Managerの最小構成で必要となります。次の手順に従ってスナップショットをシステムにインポートします。
新たに作成したユーザーでOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
右上隅にある「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」画面が表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
「ファイルの選択」ボタンをクリックします。
スナップショットをロードする準備が整ったので、ロードするスナップショットのファイル名を入力できるダイアログで「参照」ボタンをクリックします。スナップショット・ファイルが配置されているディレクトリにナビゲートする画面が表示されます。「Open」をクリックします。「ロード」ボタンをクリックして、スナップショットをシステムにロードします。
スナップショット・ファイルoaam_base_snapshot.zipは、OAAMベース・コンテンツが含まれているOracle_IDM1/oaam/initディレクトリにあります。
「OK」をクリックします。
スナップショットをメモリーにロードしましたが、スナップショット内のアイテムはまだ有効になっていません。「リストア」ボタンをクリックするまで、スナップショット内のアイテムは適用されません。
スナップショットを適用するには、「リストア」をクリックします。
スナップショットを適用したら、それが「システム・スナップショット」ページに表示されていることを確認します。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。
「Oracle Access Managementへようこそ」ページにアクセスして、Access Managerが正しく設定されていることを確認します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ログインのため、OAMサーバーにリダイレクトされます。
WebLogicの管理ユーザー名とパスワードを入力します。
ログインに成功すると、「Oracle Access Managementへようこそ」ページが表示されます。
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。
OAAMサーバーにログインします。
http://host:port/oaam_server
ユーザー名を指定し、「続行」をクリックします。
Oracle Access ManagerとOracle Adaptive Access Managerの統合がまだ行われていないため、testとしてパスワードを指定します。このパスワードは、統合後すぐに変更する必要があります。
仮想認証デバイス上の「入力」ボタンをクリックします。
「続行」をクリックし、新しいユーザーを登録します。
「続行」をクリックして、セキュリティ・デバイス、イメージおよびフレーズを受け入れます。
質問を選択し、回答を指定して、ナレッジベース認証(KBA)の登録を行います。
ログインに成功すれば、初期構成が正しく行われたことになります。
|
注意: テスト・ログインURL |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。
Access ManagerとともにWebゲートをインストールする前に、Oracle Technology NetworkからOracle Fusion Middlewareでサポートされているシステム構成を確認して、デプロイメントに使用する10gまたは11g Webゲートの証明書情報を検索します。この項では、11g WebゲートのAccess Manager 11gへの登録について説明します。Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。
WebゲートをAccess Managerに登録するには、依存関係を含む次の必須コンポーネントがインストールおよび構成されていることを確認します。
Oracle HTTP Server用のWebLogic Server
Oracle Web Tierインストーラを使用してOracle HTTP Serverがインストールおよび構成されていること。OHS_Homeの場所の例を次に示します。
MW_Home/Oracle_WT1
Oracle HTTP Serverは、Oracle WebLogic Serverのリスナー機能を実現し、静的ページ、動的ページおよびWeb上のアプリケーションのホスティングのフレームワークを提供します。
Oracle HTTP Server 11gのインストールおよび構成については、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。
Oracle HTTP Server WebGate for Access Managerがインストールされていること。WebGate_Homeの場所の例を次に示します。
MW_Home/Oracle_OAMWebGate1
Oracle HTTP Server WebGateのインストール・パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアに含まれています。Oracle Technology Network (OTN)からOracle HTTP Server WebGateソフトウェアをダウンロードできます。
http://www.oracle.com/technetwork/index.html
Oracle HTTP Server WebGateのインストールの詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g WebGateのインストールに関する項を参照してください。
|
注意: Oracle HTTP Server 11gリリース2 WebGate for Access Managerは、Oracle Identity and Access Management環境で使用することを意図していません。この環境では、Oracle Identity and Access Managementコンポーネント間での統合を設定します。 |
Windows 2003またはWindows 2008 64ビット・オペレーティング・システムを使用している場合、Oracle HTTP Server 11g WebGate for Access ManagerをホストしているマシンにMicrosoft Visual C++ 2005ライブラリをインストールする必要があります。これらのライブラリはWebGateに必要です。
Java runtime environment (JRE) 1.6以上がインストールされていること。
Oracle HTTP Server 11g WebGate for Access Managerをインストールした後、Oracle HTTP Serverと同じインスタンス・ホームを持つWebGateのインスタンスを作成し、Oracle HTTP Server構成ファイルをWebGate構成で更新する必要があります。詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のOracle HTTP Server 11g WebGateのインストール後の手順に関する項を参照してください。
Oracle HTTP Server 11g WebGateのインストール後の手順に関する項の指示に従って、次の手順を実行します。
WebGateインスタンスを作成し、WebGate_HomeディレクトリからWebGateインスタンスの場所にエージェント構成ファイルをコピーします。
WebGate_Homeは、次の例のように、Oracle HTTP Server WebGateをインストールし、WebGateのOracleホームとして定義されているディレクトリです。
MW_HOME/Oracle_OAMWebGate1
WebGateインスタンス・ホームは、次の例のように、Oracle HTTP Serverのインスタンス・ホームである必要があります。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
httpd.confをWebGate構成で更新します。
WebGateをパートナとしてAccess Manager 11gに登録するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementを使用して、新しいWebGateエージェントをAccess Managerに登録します。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
ツール・バーの「編集」ボタンをクリックして、構成ページを表示します。
アクセス・クライアント・パスワードを設定し、「適用」をクリックします。確認メッセージのアーティファクトの場所をメモします。
アクセス・クライアント・パスワードは、エージェントの一意のパスワードです。エージェントがOAMサーバーに接続する場合、サーバーに対して自身を認証するときにこのパスワードを使用します。これによって、認可されていないエージェントが接続してポリシー情報を取得するのを防ぎます。
アーティファクトの場所で、ObAccessClient.xml構成ファイルおよびcwallet.ssoを見つけて次のディレクトリにコピーします。
OHS_Home/instances/instance/config/OHS/component/webgate/config
変更内容を有効にするために、Oracle HTTP Serverを再起動します。
OHS_HOME/instances/instance/binディレクトリにナビゲートします。
次のコマンドを使用して、Oracle HTTP Serverインスタンスを再起動します。
opmnctl stopall opmnctl startall
パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。OAAMがAccess Managerにパートナ・アプリケーションとして登録されている場合、OAAMは厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を介しAccess Managerと通信して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする役割を果たします。
I認証が成功し、ユーザーに登録済の適切なプロファイルがある場合は、Oracle Adaptive Access Managerによりこのユーザー名のTAPトークンが構成され、Access Managerに戻されます。Access Managerは戻されたトークンをアサートします。トークンをアサートした後、Access ManagerはそのCookieを作成し、通常のシングル・サインオン・フロー(ユーザーを保護されたリソースにリダイレクトする)を続行します。
OAAMサーバーを信頼できるパートナ・アプリケーションとしてAccess Managerに登録するには、次の手順に従います。
OAM管理サーバーが実行されていることを確認します。
Oracle WebLogic Scripting Tool (WLST)の環境を設定します。
IAM_ORACLE_HOME/common/binディレクトリに移動します。
cd IAM_ORACLE_HOME/common/bin
次のコマンドを実行して、WLSTシェル環境に入ります。
./wlst.sh
Connectと入力し、WebLogic管理サーバーに接続します。
ユーザー名を入力します。たとえば、admin_usernameなどです。
パスワードを入力します。たとえば、admin_passwordなどです。
t3://hostname:portを入力します。
次に例を示します。
t3://AdminHostname:7001
別のターミナル・ウィンドウで、次を実行してkeystoreディレクトリを作成します。
mkdir IAM_ORACLE_HOME/TAP/TapKeyStore
WLSTシェルを使用して、registerThirdPartyTAPPartnerコマンドを実行します。
registerThirdPartyTAPPartner(partnerName = "partnerName", keystoreLocation= "path to keystore", password="keystore password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
このコマンドは、サード・パーティをTrusted Authentication Protocol (TAP)パートナとして登録します。
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://OAAM_ Managed_server_host:14300/oaam_server/oamLoginPage.jsp")
表8-6 TAPパートナの例
| パラメータ | 詳細 |
|---|---|
|
partnerName |
パートナの名前は一意である必要があります。これは、サード・パーティ・パートナの識別に使用する任意の名前にできます。Access Managerにパートナが存在する場合は、その構成が上書きされます。 |
|
keystoreLocation |
キーストアの場所は既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。キーストア・ファイル名を含む完全なパスを指定する必要があります。前に示した例では、キーストアの場所は "C:\\oam-oaam\\tap\\tapkeystore\\mykeystore.jks" |
|
password |
キーストアの暗号化に使用するキーストア・パスワード。キーストアは、パラメータ |
|
tapTokenVersion |
Trusted Authentication Protocolのバージョン |
|
tapScheme |
Trusted Authentication Protocol認証スキーム(すぐに使用できるTAPScheme)。これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Managementコンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順で |
|
tapRedirectUrl |
サード・パーティのアクセスURL。TAPリダイレクトURLはアクセス可能である必要があります。アクセスできない場合、パートナの登録は失敗し、 http://oaamserver_host:oaamserver_port/oaam_server/oamLoginPage.jsp OAAMサーバーが実行されていることを確認してください。実行されていない場合、登録は失敗します。資格証明コレクタのページは、OAAMサーバーによって提供されます。 |
exit ()と入力してWebLogicシェルを終了します。
複数の場所でエージェント・パスワードを指定する必要があります。OAAMでは、統合でエージェント・プロファイルを使用するために、このエージェント・パスワードを必要とします。
Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOracle Adaptive Access Managerによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードは設定されていません。プロファイルがOAAMで統合に使用される前に、パスワードを設定する必要があります。次のようにします。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ユーザー名とパスワードを入力します。
「システム構成」タブを選択します。
「Access Managerの設定」→「SSOエージェント」を開きます。
「OAMエージェント」をダブルクリックします。
右側のペインに「Webゲート」ページが開かれます。
「検索」をクリックすると、IAMSuiteAgentを含むすべてのWebゲート・エージェントがリストされます。
「IAMSuiteAgent」をダブルクリックし、プロパティを編集します。
「アクセス・クライアント・パスワード」でパスワードを指定し、「適用」をクリックして変更を保存します。
これは必須の手順です。
注意: これでIAMSuiteAgentがパスワード認証付きで「オープン・モード」に表示されます。別のコンソールでIdentity Managementドメインのドメイン・エージェントを使用している場合は、ドメイン・エージェント定義を更新してドメイン・エージェントの使用を続行します。
WebLogic管理コンソールにログインします。
http:oam_adminserver_host:port/console
資格証明を入力します。
「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
認証プロバイダのリストからIAMSuiteAgentを選択します。
「プロバイダ固有」をクリックします。
エージェント・パスワードを入力し、そのパスワードを確認します。
これは必須の手順です。
「保存」をクリックします。
左上隅の「変更のアクティブ化」をクリックします。
WebLogic管理サーバー、OAAMの管理サーバーと管理対象サーバー、およびOAMサーバーを再起動します。
TAPパートナ登録を検証するには、次の手順に従います。
Access Managerの構成を検証するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
資格証明を入力します。
コンソールの左側のペインの「ポリシー構成」をクリックします。
左側のペインで、「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
「チャレンジ・メソッド」が「DAP」で、「認証モジュール」が「DAP」であることを確認します。
「チャレンジURL」が、OAAMがパートナ・アプリケーションとしてAccess Managerに登録されたときに指定されたtapRedirectUrlの値の一部を示していることを確認します。たとえば、tapRedirectUrlがhttp://OAAM_Managed_server_host:14300/oaam_server/oamLoginPage.jspの場合、「チャレンジURL」は/oaam_server/oamLoginPage.jspとなります。URLのホストおよびポート番号部分は、チャレンジ・パラメータでパラメータ化されます。「チャレンジ・パラメータ」フィールドに、TAPPartnerId=OAAMPartnerとSERVER_HOST_ALIAS=HOST_ALIAS_1の両方が表示されます。
チャレンジ・パラメータが正しく設定されていることを確認します。
MatchLDAPAttributeチャレンジ・パラメータを追加し、これをLDAPアイデンティティ・ストアで指定されたUser Name Attributeに設定する必要があります。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
資格証明を入力します。
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、チャレンジ・パラメータのエントリを追加します。
たとえば、MatchLDAPAttribute=uidなどです。
MatchLDAPAttributeを、LDAPアイデンティティ・ストアで指定されたUser Name Attributeに設定する必要があります。たとえば、uid、mail、cnなどとなります。
|
注意: 「チャレンジ・パラメータ」では大/小文字を区別します。 |
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項を参照してください。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
IAMSuiteAgentの設定を検証するには、次の手順を実行します。
OAMサーバーをホストしている管理対象サーバーを再起動します。
OAMサーバーをホストしている管理対象サーバーを停止します。
OAM_DOMAIN_HOME/bin/stopManagedWeblogic.sh oam_server1
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oam_server1
Oracle Access Managementテスターを起動します。
IAM_ORACLE_HOME/../jdk_version/bin/java -jar IAM_ORACLE_ HOME/oam/server/tester/oamtest.jar
Oracle Access Managementテスター・コンソールが表示されます。
「サーバー接続」セクションで、サーバー接続の詳細を指定します。
IPアドレス: Access Manager管理対象サーバーのホスト
ポート: Oracle Access Management Oracle Access Protocol (OAP)ポート
エージェントID: IAMSuiteAgent
エージェント・パスワード: 「IAMSuiteAgentプロファイルへのパスワードの追加」で指定したPassword
「サーバー接続」セクションには、OAMサーバーへの接続の確立に必要な情報についてのフィールドが示されます。
「接続」をクリックします。
サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。
保護されたリソースのURIセクションには、保護状態を検証する必要のあるリソースに関する情報が表示されます。
このセクションでは、次のように保護されたリソースのURIを指定します。
ホスト: IAMSuiteAgent
ポート: 80
リソース: /oamTAPAuthenticate
|
注意:
|
「検証」をクリックします。
リソース検証サーバー・リクエストを送信するには、「検証」ボタンを使用します。検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。
「ユーザー・アイデンティティ」セクションで、User Identityを指定し、認証をクリックします。認証に成功した場合は、設定が正常に行われています。
このセクションには、資格証明を認証する必要のあるユーザーに関する情報が表示されます。「ユーザーの認証」サーバー・リクエストの送信には「認証」ボタンを使用します。
setupOAMTapIntegration.shを実行してTAP統合用にAccess Managerを構成するには、次の手順を実行します。
|
注意: OAAMコマンドライン・スクリプトの実行に失敗する場合、次のようにスクリプトを実行します。
bash script_name
|
OAAM管理対象サーバーが実行されていることを確認します。
作業ディレクトリを作成します。
mkdir temp cd temp mkdir oaam_cli cd..
OAAMのcliフォルダを作業ディレクトリにコピーします。
cp -r OAAM_HOME/oaam/cli/. temp/oaam_cli
temp/oaam_cli/conf/bharosa_propertiesにあるoaam_cli.propertiesをテキスト・エディタで開きます。
gedit temp/oaam_cli/conf/bharosa_properties/oaam_cli.properties
表8-7で説明するプロパティを設定します。
表8-7 OAAM CLIのプロパティ
| パラメータ | 詳細 |
|---|---|
|
oaam.adminserver.hostname |
これは、OAAMがインストールされているWebLogic Serverドメインの管理サーバー・ホストです。 |
|
oaam.adminserver.port |
これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ポートです。 |
|
oaam.db.url |
これは、次の形式で示されるOAAMデータベースの有効なJDBCのURLです。 jdbc:oracle:thin:@db_host:db_port:db_sid |
|
oaam.uio.oam.tap.keystoreFile |
これは、 パラメータ Windowsでは、ファイル・パスの値をエスケープする必要があります。次に例を示します。 C:\\oam-oaam\\tap\\keystore\\store.jks |
|
oaam.uio.oam.tap.partnername |
これは、WLST |
|
oaam.uio.oam.host |
これは、Access Managerプライマリ・ホストです。 |
|
oaam.uio.oam.port |
これは、Access ManagerのプライマリOracle Access Protocol (OAP)ポートです。これは、OAMサーバー・ポートです(デフォルト・ポート番号5575)。 |
|
oaam.uio.oam.webgate_id |
これは、 |
|
oaam.uio.oam.secondary.host |
セカンダリOAMサーバー・ホスト・マシンの名前です。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
|
oaam.uio.oam.secondary.host.port |
これは、Access ManagerのセカンダリOAPポートです。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
|
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、 |
|
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks
これは、セキュリティ・モードが |
|
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks.
秘密鍵は、Access ManagerおよびOAAMを簡易モードおよび証明書モードで設定した場合にのみ必要となります。 |
|
oaam.csf.useMBeans |
複数のドメインに対するインストールでは、 |
変更を保存してエディタを終了します。
ミドルウェアおよびJavaホーム環境変数を設定します。
bashの場合:
export ORACLE_MW_HOME=Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed export JAVA_HOME=Location_of_JDK_used_for_the_WebLogic_installation
または
cshの場合:
setenv ORACLE_MW_HOME Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed setenv JAVA_HOME Location_of_JDK_used_for_the_WebLogic_installation
ディレクトリをtemp/oaam_cli/に変更します。
実行権限を有効にします。
chmod 777 setupOAMTapIntegration.sh
次のコマンドを使用して、OAAM統合設定スクリプトを実行します。
./setupOAMTapIntegration.sh conf/bharosa_properties/oaam_cli.properties
このスクリプトは、OAAMで統合に必要なプロパティを設定します。
コマンドが実行されると、次の情報の入力を求められます。
Weblogic Serverホーム・ディレクトリ: 通常は$ORACLE_MW_HOME/wlserver_10.3です。
OAAM管理サーバー・ユーザー名: これは、WebLogic Serverドメインの管理サーバー・ユーザー名(通常はweblogic)です。
OAAM管理サーバー・パスワード: これは、管理サーバー・ユーザーのパスワードです。
OAAMデータベース・ユーザー名: OAAMデータベース・ユーザーです。
OAAMデータベース・パスワード: OAAMデータベース・ユーザーのパスワード。
CSFに格納されるAccess Manager Webゲートの資格証明: Webゲートのパスワードを入力します。
Access Manager TAPキーストア・ファイル・パスワード: TAPパートナを登録した際に割り当てられたパスワードです。詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。
簡易モードまたは証明書モードでAccess ManagerとOracle Adaptive Access Managerとの統合を設定すると、次のように追加入力を行う必要があります。
Access Manager秘密鍵証明書キーストア・ファイルのパスワード: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphraseの実行により取得できます。
Oracle Access Managementグローバル・パスフレーズ: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphraseの実行により取得できます。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の簡易モードのグローバル・パスフレーズの取得に関する項を参照してください。
|
注意: この項の手順は、IAMSuiteAgentアプリケーション・ドメインで |
IAMスイート・ドメインでIdentity Management製品リソースにTAPscheme、Protected HigherLevel Policyを使用するには、次の構成を実行する必要があります。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ナビゲーション・ツリーで「アプリケーション・ドメイン」をダブルクリックしてから「検索」をクリックし、検索結果でIAMスイートをクリックします。
Click the 「認証ポリシー」タブをクリックします。
「保護された上位レベル・ポリシー」をクリックします。
リソース・ウィンドウで「/oamTAPAuthenticate」をクリックします。
「削除」→「適用」をクリックします。
IAMSuiteアプリケーション・ドメインに新しい認証ポリシーを作成します。
認証スキームに、LDAPSchemeを選択します。
リソース・ウィンドウで「追加」をクリックします。
リソース「/oamTAPAuthenticate」を選択します。
「適用」をクリックします。
Access ManagerがリソースURLをOAAMに渡す前にオーバーライドできるようにするには、TAPSchemeでTAPOverrideResourceチャレンジ・パラメータを設定する必要があります。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、TAPSchemeのチャレンジ・パラメータにTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticateを追加します。
「適用」をクリックします。
OAAM TAPSchemeでリソースを保護するには、次の手順を実行します。
保護する新しいリソースを作成するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
Oracle Access Managementコンソールで「ポリシー構成」タブをクリックします。
左側のパネルで「アプリケーション・ドメイン」をダブルクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「リソース」タブをクリックします。
「新規リソース」ボタンをクリックしてリソースを作成します。
タイプ: http。HTTPタイプがデフォルトです。HTTPまたはHTTPSプロトコルを使用してアクセスするリソースを扱います。特定のリソースを制御するポリシーがすべての操作に適用されます。
説明: このリソースのオプションの一意の説明。
ホスト識別子: IAMSuiteAgent
リソースURL: 「/」文字で区切られた一連の階層レベルで構成される完全なURLのパス・コンポーネントを表す単一の相対URLとして、URL値を表現する必要があります。リソースのURL値は/で始まり、選択されたホスト識別子のリソース値と一致する必要があります。
たとえば、/higherriskresourceなどです。
保護レベル: Protected
「適用」をクリックして、このリソースをアプリケーション・ドメインに追加します。
TAPScheme認証を使用してリソースを保護する新しい認証ポリシーを作成するには、次の手順を実行します。
左側のパネルで「アプリケーション・ドメイン」をダブルクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックし、「認証ポリシーの作成」ボタンをクリックします。
次の一般的なポリシーの詳細を追加します。
名前: 左側のペインで識別子として使用される一意の名前。たとえば、HighPolicyなどです。
認証スキーム: TAPScheme
グローバル・ポリシー要素および指定を追加します。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
リソースを追加します。
リストの中からリソースのURLを選択します。リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
「認証ポリシー」ページで「リソース」タブをクリックします。
タブの「追加」ボタンをクリックします。
リストの中からURLを選択します。たとえば、/higherriskresourceなどです。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
ポリシー・レスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティをアサートできる必要があります。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
終了したらページを閉じます。
保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。
この項では、デプロイメントに応じて必要となる可能性のあるその他の構成手順について説明します。
TAPSchemeスキームの認証レベルを変更するには、次の手順を実行します。
Oracle Access Managementコンソールで「ポリシー構成」タブを選択します。
「共有コンポーネント」を開きます。
「認証スキーム」ノードを開きます。
「TAPScheme」をダブルクリックします。
「認証スキーム」ページで認証レベルを変更します。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
終了したらページを閉じます。
簡易モードでOracle Adaptive Access ManagerとAccess Managerとの統合を設定するには、次の手順に従います。
OAMサーバーとクライアント(Webゲート)間の通信を保護するということは、コンポーネント登録ページ内のOAPチャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。トランスポート・セキュリティ通信モードはAccess Managerのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。
簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、Access Manager 11gサーバーおよびWebゲートはOracle CAにより発行および署名された同じ証明書を使用します。
簡易モード通信用のAccess Managerの構成については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
第8.4.13項「OAAMでのAccess Manager TAP統合プロパティの設定」の手順に従ってください。oaam_cli.propertiesファイルを編集する場合は、表8-7に示したプロパティに加え、次のプロパティを設定します。
表8-8 セキュリティ・モードのプロパティ
| パラメータ | 詳細 |
|---|---|
|
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、1(オープン)、2(簡易)、または3(証明書)となります。指定されていない場合、デフォルトは1(オープン)です。 |
|
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks
これは、セキュリティ・モードが2(簡易)および3(証明書)の場合にのみ必要です。 |
|
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks
これは、セキュリティ・モードが2(簡易)および3(証明書)の場合に必要です。 |
アイデンティティ・コンテキストにより、組織は、Oracle Access Managementプラットフォームに組み込まれているコンテキストを意識したポリシー管理および認可機能を活用することで、増大するセキュリティの脅威に対応できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールやグループなど)とともに、認証および認可中に確立される動的データ(認証強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
Access ManagerとOAAMとのTAP統合でアイデンティティ・コンテキスト・クレームを使用するには、次の手順に従います。
Domain_Home/config/fmw-config/oam-config.xmlで、TAPパートナ名を持つ設定を検索します。Access Managerに対してTAPパートナを登録するときにTAPパートナ名を指定している場合があります。たとえば、OAAMPartnerです。OAAMパートナのTapTokenVersionをv2.0からv2.1に変更します。
OAAM管理コンソールからプロパティを追加または編集することにより、OAAM側のバージョン設定をv2.0からv2.1に変更します。次のようにします。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.dap_token.versionという名前を持つプロパティを検索し、その値をv2.1に変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.dap_token.versionで、値がv2.1である新しいプロパティを追加します。
Access ManagementポリシーのTAPスキームで、TAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticateというチャレンジ・パラメータを追加します。それを実行する手順は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、TAPSchemeのチャレンジ・パラメータにTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticateを追加します。
「適用」をクリックします。
Access ManagerとOracle Adaptive Access Managerの統合フローには、認証の実行に必要な情報の転送、Access Managerコンテキスト情報の保存、TAPトークンの提供などがあります。
この統合フローの間、Access ManagerはコンテキストをCookieとして保存できます。このコンテキストが大きい(フォーム・データなど)場合、Access ManagerはPOSTデータを介してそのコンテキスト情報をOracle Adaptive Access Managerに送信し、Oracle Adaptive Access ManagerはHTTP POSTベースのフロント・チャネル・メッセージを経由してこのデータをAccess Managerマネージャに転送できます。Oracle Adaptive Access Manager側でAccess Managerのコンテキストを保存するために使用されているメカニズムは、最低8Kのデータを保存できます。これにより、Access Managerでは再認証のときにエンド・アプリケーションのフォーム・データを保存でき、エンド・ユーザーによる再入力が不要になります。
Oracle Adaptive Access Managerでは、Access Managerへ返送するポストベースの応答を生成して、8K以上のAccess Managerのコンテキスト・データを保存できるように、oaam.uio.oam.dopostをtrueに設定する必要があります。
この設定を変更するには、次の手順を実行します。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.dopostという名前を持つプロパティを検索し、その値をtrueに変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.dopostで、値がtrueの新しいプロパティを追加します。
保護を提供するIAMSuiteAgentを無効化することによって、OAAM管理コンソールの保護を無効化できます。
このためには、エージェントを無効にする必要があるサーバーに対して、WLSAGENT_DISABLEDシステム・プロパティまたは環境変数をtrueに設定する必要があります。
IAMSuiteAgentの無効化方法については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
ステップアップ認証シナリオを無効にする場合、次のプロパティをfalseに設定する必要があります。
oaam.uio.oam.integration.stepup.enabled
デフォルトで、このプロパティはtrueに設定されています。OAAM管理コンソールを使用してプロパティを追加/編集することでOracle Adaptive Access Manager側の設定を変更するには、次に進みます。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.integration.stepup.enabledという名前を持つプロパティを検索し、その値をtrueに変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.integration.stepup.enabledで、値がfalseである新しいプロパティを追加します。
falseに設定した場合、ユーザーが下位の保護リソースに対して認証された後により上位の保護リソースにアクセスを試みると、資格証明を求められます。
Oracle Adaptive Access Managerでは、パスワードは25文字の制限が採用されています。ユーザーがOAAMサーバーに最初にログインするとき、入力したパスワードが25バイトを超える場合、パスワードが無効というエラーが発生し、ユーザー名のページに戻されてしまいます。
OAAMサーバーに入力するパスワードの文字制限を変更するには、OAAM管理コンソールを使用して次のプロパティを更新する必要があります。
bharosa.authentipad.textpad.datafield.maxLength
OAAM管理コンソールを使用して文字制限を更新する手順は、次のとおりです。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
bharosa.authentipad.textpad.datafield.maxLengthという名前を持つプロパティを検索し、その値を変更します。
TAPスキームを使用してAccess Manager 11gとの統合を構成し、OAAM拡張共有ライブラリを使用してカスタマイズを追加している場合は、プロパティbharosa.uio.proxy.mode.flagをfalseに設定する必要があります。
プロパティをtrueに設定すると、Oracle Adaptive Access ManagerとAccess ManagerのTAPを使用した統合に失敗し、次のメッセージが表示されます。
Sorry, the identification you entered was not recognized.
プロパティがtrueに設定されている場合は、設定を次のように変更します。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
bharosa.uio.proxy.mode.flagという名前を持つプロパティを検索し、その値をfalseに設定します。
そのプロパティが存在しない場合、名前がbharosa.uio.proxy.mode.flagで、値がfalseである新しいプロパティを追加します。
Oracle Adaptive Access Managerのカスタマイズの詳細は、次を参照してください。
『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のOAAM拡張共有ライブラリを使用したOAAMのカスタマイズに関する項
『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のOAAM Webアプリケーション・ページのカスタマイズに関する項
このシナリオは、ユーザーがTAPSchemeの認証レベルを変更する例を示しています。これらの設定に基づいて、ログインおよびステップアップ認証フローも示しています。
認証レベルを変更するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
「ポリシー構成」タブをクリックします。
左側のパネルで「TAPScheme」をクリックします。
「TAPScheme認証スキーム」ページで、「認証レベル」の値を増加させます。たとえば、値が2の場合、これを4に変更します。
TAPSchemeは上位の保護リソースを保護します。
「適用」をクリックして変更を保存します。
左側のペインで、「OAMAdminConsoleScheme」をクリックします。
認証レベル値がTAPSchemeより低いことを確認します。
OAMAdminConsoleSchemeは下位の保護リソースを保護します。
この例では、保護された上位ポリシーからOAAM管理コンソールが削除されます。
左側のペインの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン」ページで「検索」をクリックし、検索結果でIAMスイートをクリックします。
「認証ポリシー」タブをクリックします。
より上位の保護されているポリシーをクリックします。
「リソース」タブで、/oaam_admin/**を削除し、「適用」をクリックして変更を適用します。
TAPSchemeを使用して新しいポリシーを作成し、上位の保護リソースとしてOracle Adaptive Access Managerを保護します。
「認証ポリシー」タブの「認証ポリシーの作成」ボタンをクリックします。
「認証ポリシー」ページで、名前フィールドにポリシー名を指定します。たとえば、TestPolicyなどです。
「認証スキーム」で、ドロップダウン・リストから「TAPScheme」を選択します。
「リソース」タブをクリックします。
「追加」アイコンをクリックして新しいリソースを作成します。
「検索」ウィンドウで「検索」をクリックします。
リソースとして「/oaam_admin/**」を選択します。
「適用」をクリックして認証ポリシーを作成します。
これで、上位の保護リソースはTAPSchemeで保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleSchemeで保護されたOracle Access管理コンソールとなります。
ユーザーの作成方法の詳細は、第8.4.4項「OAAM管理ユーザーおよびOAAMグループの作成」を参照してください。
この項では、ユーザーがその仮想認証デバイスとチャレンジ質問を登録するログイン・フローの例を示します。例は、第8.6.1項「リソース保護シナリオ: TAPScheme認証レベルの変更」から第8.6.4項「リソース保護シナリオ: 新規OAAMユーザーの作成」で行われた設定に基づいています。
この例では、上位の保護リソースはTAPSchemeで保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleSchemeで保護されたOracle Access管理コンソールとなります。
ログイン・フローは次のとおりです。
WebブラウザでURLを入力して、保護リソースであるOAAM管理コンソールにアクセスします。
Access Managerユーザー名ページが表示されます。
OAAMサーバーにリダイレクトされます。
図8-1に示すように、Access Managerのユーザー名ページで、ユーザー名を入力し、「続行」をクリックします。
図8-2に示すように、パスワードを入力するためのTextPadによるパスワード・ページが表示されます。パスワードを入力し、「入力」をクリックします。
図8-3に示すように、「登録」ページで、ユーザーのプロファイルの登録を開始するオプションを選択する場合は「続行」をクリックします。
図8-4に示すように、セキュリティ・デバイスの登録ページで、セキュリティ・デバイスを選択して「続行」をクリックします。
セキュリティ質問の登録ページで、チャレンジ質問を登録します。
保護リソースであるOAAM管理コンソールへのアクセスが許可されます。
この項では、第8.6.5項「リソース保護シナリオ: ログイン・フロー」で自分のプロファイルを登録し、上位の保護リソースへのアクセスを許可されたユーザーのステップアップ認証フローの例を示します。この例は、第8.6.1項「リソース保護シナリオ: TAPSchemeの認証レベルの変更」から第8.6.4項「リソース保護シナリオ: 新しいOAAMユーザーの作成」で行われた設定に基づいています。
この例では、上位の保護リソースはTAPSchemeで保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleSchemeで保護されたOracle Access管理コンソールとなります。
ステップアップ認証フローは次のとおりです。
WebブラウザでURLを入力して、下位の保護リソースであるOracle Access Managementコンソールにアクセスします。
ステップアップの例のこの時点では、まだ認証されていません。よりリスクの低いリソースにアクセスすると、ユーザー名とパスワードが同じページに表示されるOracle Access Managementログイン・ページが示されます。
プロファイルを登録したユーザーの資格証明を入力し(第8.6.5項「リソース保護シナリオ: ログイン・フロー」を参照)、「ログイン」をクリックします。
資格証明の提供後、正常に認証されると、下位保護リソースへのアクセスが可能となります。図8-8に示すように、Oracle Access Managementコンソールは、この例では下位保護リソースとして使用されます。
WebブラウザでURLを入力して、上位の保護リソースであるOAAM管理コンソールにアクセスします。
すでに認証されているため、OAMサーバーではログイン・ページは表示されません。ただし、Oracle Adaptive Access Managerでは不正検出ポリシーが実行されます。この例では、Oracle Adaptive Access Managerは認証後ルールを実行し、リスク・スコアが低いと判断し、アクション(たとえば、KBAやOTP)を実行したり、ポリシーに指定されている任意のアラートを生成することはありません。図8-9に、下位保護リソースにアクセスしたときにすでに認証されており、認証後ルールによってリスク・スコアが低いと決定されたため、上位保護リソースにログインしているステップアップ認証プロセスを示します。
これで、上位保護リソースであるOAAM管理コンソールにアクセスできます。
この項では、Oracle Adaptive Access ManagerとAccess Managerとの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。一般的な問題のタイプごとにまとめられており、その内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
ここでは、OAAMとAccess Managerとの基本統合に関係する統合問題の解決策を示します。
OAAMとAccess Managerの基本統合では、保護リソースにアクセスすると、OAAMページに転送されます。
原因
Microsoft Internet Explorer 7を使用している場合、ユーザー名を入力して「送信」をクリックすると、パスワード・ページに自動的にリダイレクトされずに、次のページ(/oam/pages/oaam/handleLogin.jsp)から進まなくなります。
解決策
この問題を解決するには、次の回避策を使用できます。
「続行」リンクをクリックすると、/oam/pages/oaam/handleJump.jsp?clientOffset=-7が表示されます。
OAAMとAccess Managerとの基本統合フローの間に、エラーが発生します。
原因
OAAMEnabled値が不適切に構成されます。
解決策
OAAMとAccess Managerとの基本統合が有効化された環境では、oam-config.xmlの下にある次のエントリOAAMEnabledがtrueに設定される必要があります。
<Setting Name="OAAM" Type="htf:map">
<Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting>
</Setting>
...
OAAMとAccess Managerとの基本統合フローでエラーが発生したら、このフラグの値をチェックします。新しいOracle Internet Directoryを作成し、それをOAAMBasicスキームに関連付けるなど、特定の環境(Windows)またはシナリオでは、元のフローが破損する可能性があります。OAAMとAccess Managerとの基本統合は、OAAMEnabledフラグがfalseにリセットされるため、機能しません。
OAAMとAccess Managerとの基本統合では、Access Managerへの登録中に、チャレンジ質問を登録すると、モバイル番号を入力するための連絡先ページに転送されます。
この統合モードでは、OTPがサポートされていないため、このページは重要ではありません。次の形式でモバイル番号を入力して「送信」をクリックすることによって、登録を完了します。
:09900502139
原因
OAAMチャレンジ・ポリシーではなく、OAAMチャレンジSMSポリシーが実行されるように構成されています。
解決策
この問題を解決するには、OAAMチャレンジSMSポリシーをOAAMチャレンジ・ポリシーに置き換えて、OTPへのチャレンジ・フロー・リクエストを回避します。
OAAMチャレンジ・ポリシーを検索します。
アクション・グループで、見つかったすべてのOAAMチャレンジSMSをOAAMチャレンジに置き換えます。
ポリシーを保存します。
configureOAAMのWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーおよびoam-config.xmlファイルのOAAMEnabledプロパティに関連付けることができます。構文は次のとおりです。
configureOAAM(dataSourceName,paramNameValueList)
説明:
dataSourceNameは、作成するデータソースの名前です。
paramNameValueListは、パラメータ名と値のペアからなるカンマ区切りリストです。名前と値の各ペアの形式は次のとおりです。
paramName='paramValue'
必須のパラメータは次のとおりです。
hostName: データベース・ホストの名前
port: データベース・ポート
sid: データベース識別子(データベースSID)
userName: OAAMスキーマ名
passWord: OAAMスキーマ・パスワード
オプションのパラメータは次のとおりです。
maxConnectionSize: 最大接続予約タイムアウト・サイズ
maxPoolSize: 接続プールの最大サイズ
次に例を示します。
configureOAAM(dataSourceName = "MyOAAMDS", hostName = "host.mycorp.example.com", port = "1521", sid = "sid", userName = "username", passWord = "password", maxConnectionSize = None, maxPoolSize = None, serverName = "oam_server1")
|
注意:
|
ここではログインの問題の解決策を提供します。
ネイティブ認証フローでASCII以外のユーザー名またはパスワードを使用すると、次のようなメッセージが表示されます。
Sorry, the identification you entered was not recognized. Please try again.
原因
資格証明内に非ASCII文字があります。
解決策
問題を解決するには、次のようにします。
PRE_CLASSPATH変数を${ORACLE_HOME}/common/lib/nap-api.jarに設定します。
Cシェルの場合:
setenv ORACLE_HOME "IAMSUITE INSTALL DIR"
setenv PRE_CLASSPATH "${ORACLE_HOME}/common/lib/nap-api.jar"
bash/kshシェルの場合:
export ORACLE_HOME=IAMSUITE INSTALL DIR
export PRE_CLASSPATH="${ORACLE_HOME}/common/lib/nap-api.jar"
OAAM_SERVERに関連する管理対象サーバーを起動します。
Access ManagerとOracle Adaptive Access Managerで正常に認証された後に、登録されたユーザーが登録したものと異なる大文字/小文字の組合せでユーザー名を入力すると、再度プロファイルを登録するように求められます。
原因
ユーザー名では大文字と小文字が区別されます。デフォルトでは、ユーザーが登録されたユーザーとは異なる大文字/小文字の組合せでユーザー名を入力すると、OAAMサーバーはそのユーザーを未登録と見なします。たとえば、ユーザーuserxyがユーザー名をuserXYと入力してログインを試みると、プロファイルを再度登録するように求められます。
解決策
OAMサーバーとOAAMサーバーの両方でログインが成功するようにするには、ユーザー名の大/小文字を区別しないようにOAAMサーバーを構成する必要があります。このためには、次のプロパティを設定します。
bharosa.uio.default.username.case.sensitive=false
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
構成でCookieドメインの値が正しくない場合、ログインが失敗することがあります。
正しくWebゲートを操作するには、プロパティoaam.uio.oam.obsso_cookie_domainがAccess Managerの対応する値に一致するように設定されていることを確認します。
テスト・ログインURL /oaam_serverは、TAPスキームを使用してAccess ManagerとOracle Adaptive Access Managerの統合を続行する前に、Oracle Adaptive Access Manager構成が機能していることを確認するために使用されます。このURLは統合後の使用を意図したものではないため、その時点で、ユーザーはOAAMサーバーに直接アクセスできなくなります。ユーザーがこのURLに移動し、ユーザー名を入力すると、パスワードを入力するページに移動されます。パスワードを送信すると、ログインに失敗し、次のエラーが表示されます。
Error Sorry, the identification you entered was not recognized. Please try again
この項ではアイデンティティ・ストアの問題の解決策を提供します。
ユーザーはログインに失敗します。
原因
アイデンティティ・ストアのusername属性がcnではない場合、ログインは失敗します。
解決策
この問題を修正する方法は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
左側のパネルで「TAPScheme」をクリックします。
TAPScheme認証スキームをダブルクリックします。
「TAPScheme」ページで、チャレンジ・パラメータMatchLDAPAttributeを追加し、値をアイデンティティ・ストアで指定したusername属性に設定します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、uid、mail、cnなどに設定できます。
username属性がuidの場合は、MatchLDAPAttribute=uidを追加します。
|
注意: 既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押す必要があります。 |
「適用」をクリックして変更を送信します。
認証は成功しても、最後のリダイレクトが次のエラーで失敗します。
Module oracle.oam.user.identity.provider
Message Principal object is not serializable; getGroups call will result in
an extra LDAP call
Module oracle.oam.engine.authn
Message Cannot assert the username from DAP token
Module oracle.oam.user.identity.provider
Message Could not modify user attribute for user : cn, attribute :
userRuleAdmin, value : {2} .
原因
複数のアイデンティティ・ストアを伴う統合シナリオでは、デフォルト・ストアとして設定されたユーザー・アイデンティティ・ストアが認証およびアサーションに使用されます。
Access ManagerとOracle Adaptive Access ManagerのTAPを使用した統合では、TAPScheme認証スキームのアサーションはデフォルト・ストアに対して行われます。この場合、LDAPモジュールに対して行われるバックエンド・チャネル認証では、特定のユーザー・アイデンティティ・ストア(たとえば、OID)が使用されます。ユーザー名がAccess Managerに返されると、アサーションはデフォルト・ストア(認証に使用されたものとは異なるOID)に対して行われます。
|
注意: セッション偽装のため、ユーザーおよび権限付与に使用されるOracle Internet Directoryインスタンスはデフォルト・ストアである必要があります。 |
解決策
異なるストアを指すようにデフォルト・ストアを変更した場合は、TAPSchemeも同じストアを指していることを確認します。
登録済ユーザーがLDAPから削除されても、登録済ステータス・レコードはOAAMデータベース内に残ります。そのユーザーが再度LDAPに追加された場合、OAAMデータベースとLDAPが同期されていないため、古い画像、フレーズおよびチャレンジ質問が使用されます。
この項では、その他の問題の解決策およびヒントを提供します。
統合に失敗する場合、Oracle Access Managementコンソールを使用してTokenValiditySecondsを増加させます。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
左側のパネルで「TAPScheme」をクリックします。
「TAPScheme」ページで、チャレンジ・パラメータTotalValiditySecondsを追加し、値を目的の数に設定します。デフォルト値は1秒です。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、TotalValiditySeconds=4のようにします。
|
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
oam-config.xmlファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME/config/fmwconfigディレクトリにあります。
テキスト・エディタでoam-config.xmlファイルを開きます。
vi DOMAIN_HOME/config/fmwconfig/oam-config.xml
OAAMPartnerを検索します。
図8-12に示すように、TapTokenVersionの値をv2.0からv2.1に変更します。
変更内容を保存します。
:wq!
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」ノードの下の「プロパティ」をクリックします。
「プロパティ」ページで「新規プロパティ」ボタンをクリックします。
新しいプロパティを次のように指定します。
名前: oaam.uio.oam.dap_token.version
値: v2.1
「作成」をクリックします。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
左側のペインで、「TAPScheme」認証スキームをダブルクリックします。
「TAPScheme」ページで、チャレンジ・パラメータTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticateを追加します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
|
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合でOAAMAdvanced認証スキームによって保護されたリソースにアクセスすることはできません。
原因
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合で、統合を適切に機能させるには、OAAMのパスワードと、この章に示されたパラメータに加えていくつかのパラメータを設定する必要があります。
解決策
この問題を解決するには、次のようにします。
OAAMのWebゲート・パスワードを設定します。
oaam.uio.oam.authenticate.withoutsessionをfalseに設定します。デフォルトでは、これはtrueに設定されています。
Access ManagerとのOAAM拡張統合でOAAMAdvancedスキームを使用している場合、次のプロパティが設定されていることを確認してください。
Access Management 11g リリース1 (11.1.1)以前の場合:
oaam.uio.oam.authenticate.withoutsession = false
Access Management 11gおよび10gの場合:
oracle.oaam.httputil.usecookieapi = true
