Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
![]() 前 |
![]() 次 |
Oracle Access Management Access Manager (Access Manager)、Oracle Adaptive Access Manager (OAAM)およびOracle Identity Manager (OIM)を統合すると、Access Managerによるリソースへのアクセス制御、OAAMによる強力なマルチファクタ認証と高度なリアルタイム不正防止、およびOIMによるセルフサービス・パスワード管理が可能となります。
この章では、Oracle Access Management Access Manager (Access Manager)、Oracle Identity Manager (OIM)およびOracle Adaptive Access Managerを統合する方法について説明します。
この章では、次の内容を説明します。
第9.1項「Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合について」
第9.8項「Oracle Identity ManagerとOracle Adaptive Access Managerの統合」
Oracle Access Management Access Manager (Access Manager)、Oracle Adaptive Access Manager (OAAM)およびOracle Identity Manager (OIM)の統合では、後の2製品のセキュアなパスワード収集機能がAccess Managerによって保護されたアプリケーションに追加されます。
セキュアなパスワード収集およびチャレンジ関連機能には、次のようなものがあります。
認証プロセスの細かい制御および、OAAMポリシーに対する認証前および認証後チェックの全機能。Access Managerは認証および認可サービスとして動作するのに対し、Oracle Adaptive Access Managerは豊富で強力なオーセンティケータを提供してリスクおよび不正分析を実行します。
Oracle Adaptive Access Managerの堅牢なチャレンジ質問機能セット。Oracle Identity Managerのより限定的なセットはこれに置き換えられます。
パスワード検証、ストレージおよび伝播の責務とワークフローの機能の制御
パスワードの期限切れおよびパスワード忘れに対する支援をせず、パスワードを作成および再設定する機能
1つの認証ステップでの複数アプリケーションへのセキュアなアクセス
11g リリース2 (11.1.2.1.0)では、Access Managerによりそれ自体のアイデンティティ・サービスは提供されず、かわりにAccess Managerで次のようにします。
Oracle Identity Manager、LDAPディレクトリおよび他のソースによって提供されるアイデンティティ・サービスを使用します。
Oracle Identity ManagerおよびOracle Adaptive Access Managerと統合し、Access Managerによって保護されたアプリケーションに各種のセキュアなパスワード収集機能を提供します。
役割は次のように分割されます。
表9-1 統合における各コンポーネントの役割
コンポーネント | 役割 |
---|---|
Oracle Adaptive Access Manager |
次の役割を担います。
|
Oracle Identity Manager |
次の役割を担います。
|
Access Manager |
次の役割を担います。
|
統合シナリオでは、Access Managerは認証および認可モジュールとして動作するのに対し、Oracle Adaptive Access Managerは強力なオーセンティケータを提供してリスクおよび不正分析を実行します。
Access ManagerによりOracle Adaptive Access Managerの強力な認証機能を利用する方法には、次の2つがあります。
OAAMとAccess Managerとの基本統合
ナレッジベース認証(KBA)など、ログイン・セキュリティを追加するAccess Managerユーザーは、OAAMとAccess Managerとの基本統合(OAAM基本統合)を使用できます。このオプションではまだOAAM管理サーバーが必要ですが、個別のOAAMサーバーのデプロイメントは不要です。機能には、ネイティブのOAAMコールによりアクセスします。OAAM基本統合オプションでは、OAAMとAccess Managerとの拡張統合(OAAM拡張統合)オプションよりフットプリントが小さくなります。
OAAM基本統合とOAAM拡張統合との違いは、OAAM基本統合では、ショート・メッセージ・サービス(SMS)、電子メールまたはインスタント・メッセージング(IM)を通じたワンタイム・パスワード(OTP)などの拡張機能にアクセスできないという点です。また、このネイティブ統合は、基本画面のブランド以外にカスタマイズできません。
OAAMとAccess Managerとの拡張統合
ネイティブ統合で使用可能なもの以外の拡張機能およびカスタマイズを必要とするAccess Managerユーザーは、OAAMとAccess Managerとの拡張統合(OAAM拡張統合)を使用できます。Java Oracle Access Protocol (OAP)ライブラリ、Oracle Access ManagerとOracle Adaptive Access Managerの統合を利用するには、完全なOAAMデプロイメントが必要です。
実装の詳細は、第8章「Oracle Adaptive Access ManagerとAccess Managerの統合」を参照してください。
Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合することによって、Access Managerによって保護されたアプリケーション向けにパスワード管理機能を実装できます。
この項では、パスワード管理のデプロイメント・オプションについて説明します。各デプロイメントでサポートされるシナリオおよび各シナリオを実現するフローの詳細は第1.5項「一般的な統合のシナリオ」を参照してください。
パスワード管理のコンテキストでは、Access Managerは様々なデプロイ・モードで動作します。
認証およびパスワード管理のためにAccess ManagerとOracle Identity Managerを統合します。
詳細は、第1.5.3.1項「Access ManagerをOracle Identity Managerと統合する場合」を参照してください。
認証、パスワード管理、不正検出および追加機能のためにAccess Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合します。
処理フローの詳細は、第1.5項「一般的な統合のシナリオ」を参照してください。
実装の詳細は、第9.3項「統合ロードマップ」を参照してください。
Access Managerは、Oracle Access Managementコンソールを介してパスワード・ポリシー管理機能も提供します。パスワード・ポリシーは、Access Managerによって保護されるすべてのリソースに適用されます。この機能は、この章に記載されているAccess Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合では使用されません。Oracle Access Management機能の詳細は、 Oracle Fusion Middleware Oracle Access Manager管理者ガイドの一般的なサービス、証明書の検証およびパスワード・ポリシーの管理に関する項を参照してください。
この項では、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合に関係する主な定義、頭文字および略語を示します。
表9-2 拡張統合に関する用語
表9-3は、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合のための大まかなタスクをリストしたものです。
表9-3 Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合フロー
番号 | タスク | 情報 |
---|---|---|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
2 |
Access ManagerとOracle Identity Managerを統合します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合」を参照してください。 |
3 |
Oracle Identity Managerに対してLDAP同期を有効にします。これは、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合に必要となります。 |
詳細は、「Oracle Identity Managerに対するLDAP同期の有効化」を参照してください。 |
4 |
Access ManagerとOracle Adaptive Access Managerを統合します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合」を参照してください。 |
5 |
OAAMとOIMの統合を設定します。 |
詳細は、「Oracle Identity ManagerとOracle Adaptive Access Managerの統合」を参照してください。 |
6 |
各自の要件によっては必要となる可能性のある追加の構成を実行します。 |
詳細は、「その他の構成タスクの実行」を参照してください。 |
Oracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを統合する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。 完全なインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表9-4は、Oracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントをリストしたものです。
表9-4 Access Manager、OAAMおよびOIMの統合に必要なコンポーネント
コンポーネント | 情報 |
---|---|
Oracleデータベース |
Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 保証されたデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントのデータベース要件に関するトピックを参照してください。 |
Repository Creation Utility (RCU) |
リポジトリ作成ユーティリティをインストールおよび実行し、データベースにAccess Manager、OAAMおよびOIMのスキーマを作成します。インストールしている製品とバージョン互換性のあるリポジトリ作成ユーティリティを使用する必要があります。 注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)コンポーネントのデータベース・スキーマをインストールする前に、Oracle Fusion Middleware Repository Creation Utilityの11gリリース2 (11.1.2.1.0)バージョンを使用する必要があります。 Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)はOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成に関する項および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 Oracle DatabaseのRCU要件の詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントでOracle DatabaseのRCU要件に関する項を参照してください。 |
Oracle Virtual Directory |
この章の手順では、Oracle Internet Directoryがアイデンティティ・ストアとして構成され、Oracle Virtual Directoryがフロントエンドとなっていることを前提としています。 OVDの構成の詳細は、第6章「Oracle Access Management Access Managerと統合するためのOracle Virtual Directoryの構成」および第4章「Oracle Identity Managerと統合するためのOracle Virtual Directoryの構成」を参照してください。 |
Oracle Internet Directory |
この章の手順では、Oracle Internet Directoryがアイデンティティ・ストアとして構成され、Oracle Virtual Directoryがフロントエンドとなっていることを前提としています。 詳細は、第5章「Oracle Internet DirectoryとAccess Managerの統合」を参照してください。 |
Access Manager用Oracle WebLogic Server、Oracle Adaptive Access Manager、Oracle Identity ManagerおよびOracle HTTP Server |
WebLogic Serverをインストールする前に、ご使用のマシンがシステム、パッチ、カーネルおよびその他の要件を満たしていることを確認します。 Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerは、同じWebLogicドメインにも、別のWebLogicドメインにも構成できます。デフォルトでは、Access ManagerとOAAMのアプリケーションは別のWebLogicドメインに構成されます。 Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。 |
Access Manager |
Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 異なるWebLogicサーバーにOracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerをインストールします。 Oracle Adaptive Access ManagerおよびAccess Managerは新規または既存のWebLogicドメインに配置できます。これらは同じドメインに配置することも、別のWebLogicドメインに配置することもできます。 インストール時に、Access Managerはデータベース・ポリシー・ストアとともに構成されます。Access ManagerとOracle Adaptive Access Managerの接続には、データベース・ポリシー・ストアが必要です。 |
OAAM |
Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 |
OIM |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールと構成に関する項およびOracle Identity Managerの構成に関する項を参照してください。 注意: Oracle Identity Managerの構成の際、LDAPディレクトリをアイデンティティ・ストアとして使用するには、あらかじめこれを構成する必要があります。LDAP同期の有効化の要件を含め、すべてのインストール指示に従ってください。詳細は、次の項を参照してください。
(すべて『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』内) 注意: Oracle Identity Managerのインストール時に、 |
Oracle SOA Suiteおよびパッチ |
SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。 |
Oracle HTTP Server |
HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。 |
Oracle HTTP Server 11gインスタンス上のOracle HTTP Server 11gのOracle Access Manager 10gまたはAccess Manager 11gエージェント(Webゲート) |
Access ManagerとともにWebゲートをインストールする前に、Oracle Technology NetworkからOracle Fusion Middlewareでサポートされているシステム構成を確認して、デプロイメントに使用する10gまたは11g Webゲートの証明書情報を検索します。 Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。 Access Manager 11gで使用するための11g WebGateのインストールおよび登録の詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g WebGate for OAMのインストールおよび構成に関する項を参照してください。 注意: Oracle HTTP Server 11gリリース2 WebGate for Access Managerは、Oracle IdentityコンポーネントとAccess Managementコンポーネント間の統合を設定するOracle Identity and Access Management環境での使用を意図したものではありません。 |
IdentityManagerAccessGate 10g Webゲート・プロファイル |
Access ManagerとOracle Adaptive Access Managerの統合では、IdentityManagerAccessGate 10g Webゲート・プロファイルが存在する必要があります。これは、Oracle Access Managementコンソールで「システム構成」→「エージェント」→「10gWebGates」にナビゲートすることによって検証できます。 |
次の手順は、すぐに使用できる統合によりAccess ManagerとOracle Identity Managerが統合されていることを前提としています。
注意: 必要に応じて、Oracle Access Management Access ManagerおよびOracle Adaptive Access Managerを別のドメインまたは同じWebLogicドメインにインストールできます。 複数のドメインに対するインストールでは、 次の統合手順では、参照用に、Oracle Access Management Access Managerが含まれているWebLogic Serverドメインを |
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity ManagerおよびAccess Managerの間の統合が必要です。
詳細は、第7章「Access ManagerとOracle Identity Managerの統合」を参照してください。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity Manager用のLDAP同期の有効化が必要です。
Oracle Adaptive Access Managerは、Oracle Identity Managerが同期するのと同じディレクトリで動作します。
注意:
|
Oracle Identity Managerに対するLDAP同期の有効化については、第3章「Oracle Identity ManagerにおけるLDAP同期の有効化」を参照してください。
このタスクでは、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合の一環として、Access ManagerとOracle Adaptive Access Managerのコンポーネントを統合することによって、パスワード管理およびチャレンジ関連機能をAccess Managerによって保護されたアプリケーションに提供します。
注意: Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合では、 |
Access ManagerとOracle Adaptive Access Managerの統合は、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作するように構成します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信します。この統合では、OAMサーバーは保護されたリソースにリダイレクトします。
Oracle Adaptive Access ManagerとAccess Managerの統合の詳細は、第8章「Oracle Adaptive Access ManagerとAccess Managerの統合」を参照してください。
表9-5は、Access ManagerとOracle Adaptive Access Managerの統合のための大まかなタスクをリストし、その手順が示されている場所への参照を示しています。
この構成手順では、Access ManagerとOracle Adaptive Access Managerをすぐに使用できる統合を使用して統合することを前提としています。
表9-5 Access ManagerとOracle Adaptive Access Managerとの統合フロー
番号 | タスク | 情報 |
---|---|---|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
2 |
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
3 |
OAAM管理ユーザーおよびOAAMグループを作成します。OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。 |
詳細は、「OAAM管理ユーザーおよびOAAMグループの作成」を参照してください。 |
4 |
OAAMベース・スナップショットをインポートします。Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、スナップショットをシステムにインポートする必要があります。 |
詳細は、「Oracle Adaptive Access Managerスナップショットのインポート」を参照してください。 |
5 |
Access Managerが正しく設定されたことを確認します。Oracle Access Managementコンソールに正常にログインできる必要があります。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
6 |
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
7 |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。 |
Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。 Access Manager 11gで使用するための11g WebGateのインストールおよび登録の詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g WebGate for OAMのインストールおよび構成に関する項を参照してください。 |
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。 |
詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。 |
9 |
エージェント・パスワードを設定します。Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOracle Adaptive Access Managerによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOracle Adaptive Access Managerで統合に使用される前に、パスワードを設定する必要があります。 |
詳細は、「IAMSuiteAgentプロファイルへのパスワードの追加」を参照してください。 |
10 |
IAMSuiteAgentを更新します。 |
詳細は、「別のコンソールのドメイン・エージェントを使用した場合のドメイン・エージェント定義の更新」を参照してください。 |
11 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
12 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「OAAMでのAccess Manager TAP統合プロパティの設定」を参照してください。 |
13 |
OAAM TAPSchemeを使用するように統合を構成して、IAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護します。 |
詳細は、「TAPSchemeを使用してIAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護するための統合の構成」を参照してください。 |
14 |
ポリシーで保護されたリソースのポリシーでOAAM TAPSchemeを使用してリソースが保護されるように認証スキームを構成します。 |
詳細は、「TAPSchemeにより保護されるリソースの構成」を参照してください。 |
15 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合の検証」を参照してください。 |
この項では、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの3方向統合のために、Oracle Identity ManagerとOracle Adaptive Access Managerを統合する方法について説明します。
Oracle Adaptive Access Manager用のOracle Identity Managerプロパティの設定
Oracle Identity ManagerとOracle Adaptive Access Manager間のクロス・ドメインの信頼の構成
Oracle Identity ManagerのかわりにOracle Adaptive Access Managerがチャレンジ質問機能を提供するためには、Oracle Identity Managerで、OIM.ChangePasswordURL
プロパティおよびOIM.ChangePasswordURL
プロパティが有効なOAAM URLに設定され、OIM.DisableChallengeQuestions
がtrue
に設定される必要があります。
Oracle Identity Managerプロパティを変更するには、次の手順を実行します。
Oracle Identity Managerシステム管理コンソールにログインします。
「システム管理」で「構成」をクリックし、「システム管理」の下で「システム構成」リンクをクリックします。
ポップアップ・ウィンドウで、「拡張検索」をクリックします。
次のプロパティを設定し、「保存」をクリックします。
注意: これらのURLでは、Access Managerで構成したホスト名を使用します。たとえば、Access Managerの構成中に完全なホスト名(ドメイン名あり)を指定した場合は、URLに完全なホスト名を使用します。 |
表9-6 Oracle Identity Managerのリダイレクト
キーワード | プロパティ名および値 |
---|---|
OIM.DisableChallengeQuestions |
|
OIM.ChangePasswordURL |
Oracle Adaptive Access Managerにあるパスワード変更ページのURL http://oaam_server_managed_server_host: oaam_server_managed_server_port/ oaam_server/oimChangePassword.jsp 高可用性(HA)環境では、OAAMサーバーの仮想IP URLを指すようにこのプロパティを設定します。 |
OIM.ChallengeQuestionModificationURL |
Oracle Adaptive Access Managerにあるチャレンジ質問変更ページのURL http://oaam_server_managed_server_host: oaam_server_managed_server_port/ oaam_server/oimResetChallengeQuestions.jsp |
Oracle Identity Managerの管理対象サーバーを再起動します。
Oracle Identity Manager用にOAAMプロパティを設定する手順は次のとおりです。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
プロパティ・エディタへのアクセスが可能なユーザーとしてログインします。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
「値」をクリックします。新しい値を入力し「保存」をクリックします。
次のプロパティについて、デプロイ内容に従って値を設定します。
表9-7 Oracle Identity Managerのプロパティ値の構成
プロパティ名 | プロパティ値 |
---|---|
bharosa.uio.default.user.management.provider.classname |
com.bharosa.vcrypt.services.OAAMUserMgmtOIM |
oaam.oim.auth.login.config |
${oracle.oaam.home}/../designconsole/ config/authwl.conf |
oaam.oim.url |
t3://OIM-Managed-Server:OIM-Managed-Port 次に例を示します。 t3://host.mycorp.example.com:14000 |
oaam.oim.xl.homedir |
${oracle.oaam.home}/../designconsole |
bharosa.uio.default.signon.links.enum.selfregistration.url |
自己登録のURLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ register?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/register?&backUrl=http://OHS-HOST:OHS-PORT/identity |
bharosa.uio.default.signon.links.enum.trackregistration.url |
登録のトラッキングのURLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ trackregistration?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/trackregistration?&backUrl=http://OHS-HOST:OHS-PORT/identity |
bharosa.uio.default.signon.links.enum.trackregistration.enabled |
true |
bharosa.uio.default.signon.links.enum.selfregistration.enabled |
|
oaam.oim.csf.credentials.enabled |
このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
oaam.oim.passwordflow.unlockuser |
このプロパティは、パスワードを忘れた場合のフローでユーザーの自動ロック解除を有効にします。 |
様々なアクティビティを実行するには、Oracle Adaptive Access ManagerにOIM管理者の資格証明が必要です。Oracle Identity Manager Webゲートの資格証明の鍵は、MAPのoaam
に作成されます。OIMの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOAAMドメインに追加します。
Oracle Fusion Middleware Enterprise Managerコンソールにログインします。
http://weblogic_host:administration_port/em
WebLogic管理者としてログインする必要があります。たとえば、WebLogic
などです。
左側ペインのナビゲーション・ツリーでベース・ドメインを展開します。
ドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択し、「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
Oracle Identity ManagerとOracle Adaptive Access Managerが別のドメインにある場合、クロス・ドメインの信頼を構成する必要があります。
Oracle Adaptive Access Managerドメインでクロス・ドメインの信頼を構成します。
Oracle Adaptive Access ManagerのWebLogic管理コンソールにログインします。
ドメインをクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
共有秘密を選択し、これを「資格証明」フィールドと「資格証明の確認」フィールドに入力します。
構成の変更を保存します。
Oracle Identity Managerドメインでクロス・ドメインの信頼を構成します。
Oracle Identity ManagerのWebLogic管理コンソールにログインします。
ドメインをクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
共有秘密を選択し、これを「資格証明」フィールドと「資格証明の確認」フィールドに入力します。
OAAMドメインでクロス・ドメインの信頼を構成したときに使用したものと同じ共有秘密を使用します。
構成の変更を保存します。
この項では、Access Manager、OAAMおよびOIMの統合の構成および管理に関するその他のトピックについて説明します。要件によっては、前述のタスクの他にタスクを実行する必要が生じる場合があります。
Access ManagerとOAAMの統合については、第8.5項「Access ManagerとOAAMとの統合のその他のタスク」を参照してください。
この項では、Access Manager、OAAMおよびOIMの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
機能しないURLに遭遇します。たとえば、「パスワードを忘れた場合」リンクをクリックしてもログイン・ページにリダイレクトされます。
原因
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できません。
解決策
Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
正しくないパスワードを入力すると、ユーザーはリダイレクトのループに入ります。
原因
ログイン・ページの値が正しくありません。
解決策
ユーザーが正しくないパスワードを入力したときにリダイレクト・ループが発生した場合は、「OAAMプロパティ」ページでoaam.uio.login.page
プロパティが適切に設定されていることを確認してください。oaam.uio.login.page
プロパティの値は、/oaamLoginPage.jsp
に設定される必要があります。Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
ユーザーがOAAMからログインし、Access Managerにより正常に認証されると、Access Managerは2つの同時セッションを作成します。
原因
OAM、OAAMおよびOIMの統合環境では、どのような認証でもOracle Access Management Access Managerで2つのユーザー・セッションが作成されます(Oracle Access Managementコンソールの「セッション管理」の下のOAM_SESSIONS
表内のMDSに表示されます)。
1つのセッションはIAMSuiteAgentによって、もう1つのセッションはWebゲートによって作成されます。
解決策
プロパティoaam.uio.oam.authenticate.withoutsession
の値をチェックします。
パスワードを忘れた場合のフローは、シングル・ログイン・ページのデプロイメントでは使用できません。
テスト・ログインURL /oaam_server
は、Access Managerの統合に進む前に、OAAM構成が動作していることを検証するため使用されます。このURLは、Access ManagerとOAAMの統合後の使用を意図したものではありません。