Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Access Management Access Managerと使用するための集中管理されたLDAPストアのインストール後の有効化について説明します。この章では、Oracle Internet Directoryについて説明します。タスクは、選択したLDAPプロバイダに関係なく同じです。
この章の内容は次のとおりです。
関連項目: 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』 |
Oracle Access Management Access Manager (Access Manager)は、アイデンティティ・ドメインとして各ユーザー移入とLDAPディレクトリ・ストアに対応しています。それぞれのアイデンティティ・ドメインは、Access Managerに登録されている構成済のLDAPユーザー・アイデンティティ・ストアにマップされます。それぞれがサポートされている異なるLDAPプロバイダに依存している複数のLDAPストアを使用できます。
WebLogic Serverドメインの最初の構成中に、組込みLDAPがAccess Managerの唯一のユーザー・アイデンティティ・ストアとして構成されます。組込みLDAP内では、weblogic
がデフォルトの管理者としてあらかじめ設定された管理者グループが作成されます。
注意: 組込みLDAPは、ユーザーが10,000人未満のときにパフォーマンスが最も良くなります。ユーザーがこれより多い場合は、別のエンタープライズLDAPサーバーを考慮してください。高可用性構成では、ユーザー・アイデンティティ・ストアとして外部LDAPディレクトリを使用することをお薦めします。 |
Access Managerには、システム・ストアおよびデフォルト・ストアが必要です。WebLogicドメインの最初の構成中に、組込みLDAPストアが、システム・ストアとデフォルト・ストアの両方として指定される唯一のユーザー・アイデンティティ・ストアとして構成されます。
システム・ストア: 1つのユーザー・アイデンティティ・ストアのみをシステム・ストアとして指定できます(必ず指定する必要があります)。これは、Oracle Access Managementコンソール、リモート登録、およびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。
注意: リモート・ユーザー・ストアをシステム・ストアとして定義すると、同じシステム・ストアを参照するLDAP認証モジュールを使用するように |
デフォルト・ストア: 名前が示すとおり、デフォルト・ストアとして指定されたLDAPストアは、別のストアを構成しないかぎり、LDAP認証メソッドに対して自動的に選択されます。
注意: Oracle Security Token Serviceは、指定されたデフォルト・ストアのみを使用します。トークン発行ポリシーにユーザー制約を追加するとき、たとえば、ユーザーを選択するアイデンティティ・ストアはデフォルト・ストアである必要があります。 |
Access Managerにユーザー・アイデンティティ・ストアを登録すると、管理者は、1つ以上の認証プラグインまたはAccess Manager認証スキームの基盤を形成するモジュールでそのストアを参照できます。Oracle Access Managementコンソールまたはリモート登録ツールを使用してパートナを登録する場合、アプリケーション・ドメインを作成し、デフォルト認証スキームを使用するポリシーでシードできます。ユーザーが、Access Managerで保護されたリソースにアクセスしようとすると、認証プラグインまたはモジュールによって指定されているストアに対して認証されます。
タスクの概要: Access Managerに対するLDAPストアの構成
この章のタスクを開始する前に、必ず、インストール済LDAPディレクトリ・サーバーを熟知しておいてください。この章ではOracle Internet Directoryに焦点を当てていますが、同じタスクを、Access Managerと連動するすべてのサポートされているLDAPに対して適用できます。
Access Manager用のLDAPストアを統合するための準備手順は、次のとおりです。
Oracle Fusion Middleware Oracle Internet Directory管理者ガイドの説明に従って、目的のLDAPディレクトリ・サーバー(この例ではOracle Internet Directory)をインストールします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、目的のLDAPディレクトリとともにAccess Managerをインストールし、セットアップします(Oracle Internet Directoryの構成に関する項も参照)。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、Access ManagerのLDAPディレクトリ・スキーマを拡張します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、LDAPディレクトリにUsersおよびGroupsを作成します。
この項では、OAMサーバーとの接続を提供するための、サポートされているLDAPユーザー・アイデンティティ・ストアのインストール後の登録について説明します。次の項を参照してください。
この手順では、Access ManagerにOracle Internet Directoryを登録します。手順は、どのサポートされているLDAPを登録する場合でも同じです。登録完了ページは、図5-1に類似したものになります。
関連項目: 各要素の詳細は、Oracle Fusion Middleware Oracle Access Management管理者ガイドを参照してください。 |
前提条件
ユーザー・アイデンティティ・ストアは、「前提条件」の記載どおりにインストールされ、稼働している必要があります。
Access ManagerにOracle Internet Directoryを登録する手順は、次のとおりです。
Oracle Access Managementコンソールに移動し、管理者としてログインします。次に例を示します。
https://examplehost:port/oamconsole/
Oracle Access Managementコンソールで、次のようにユーザー・アイデンティティ・ストア・ノードを開きます。
「ユーザー・アイデンティティ・ストア」ノードをクリックし、ツール・バーの「作成」(+)ボタンをクリックします。
「作成: ユーザー・アイデンティティ・ストア」ページで、使用するLDAPストアおよびデプロイメントに適した値を入力または選択し、「適用」をクリックします。次に例を示します。
「適用」をクリックして、登録を送信します。
接続テスト: 「接続テスト」ボタンをクリックして接続性を確認し、「確認」ウィンドウを閉じます。
このページを閉じます。
ユーザー・アイデンティティ・ストアの登録ページを開くと、「デフォルト・ストア」または「システム・ストア」オプションを選択し、管理者ユーザーおよびロールを定義できます。デフォルトでは、Access Manager管理者のロールはWebLogic管理者のロール(ユーザーweblogic
)と同じです。これは、エンタープライズで管理者の独立したセットが必要な場合、変更できます。
管理者ロール、ユーザーおよびグループはすべて、Access Managerでシステム・ストアとして指定されているLDAPストアに格納する必要があります。システム・ストアの指定を変更する場合は、適切な管理者ロールを新しいシステム・ストアに追加することが必要です。
注意: 管理者ログインは、 |
前提条件
Access Managerへのユーザー・アイデンティティ・ストアの登録
次の手順では、Oracle Internet Directoryがシステム・ストアとデフォルト・ストアの両方として設定されることを想定しています。環境は様々です。ご使用のものに適した手順のみ実行してください。ご使用のデプロイメントに該当しない手順は省略してください。
システム・ストア、管理者またはデフォルト・ストアを指定する手順は、次のとおりです。
Oracle Access Managementコンソールから、目的のストアの登録ページを開きます。
システム・ストアの設定: このストアに管理者ロールおよび証明書が存在する必要があります。
登録ページの「デフォルトとシステム・ストアのオプション」セクションで、「システム・ストアとして設定」の横にあるボックスを選択します(ドメイン全体の認証および認可操作の場合)。
「適用」をクリックして、「確認」ウィンドウを閉じます。
認証モジュール: 後で、OAMAdminConsoleScheme
によって使用されるLDAP
認証モジュールがこのシステム・ストアを使用するように設定するよう指示されます。(「Access Managerとユーザー・アイデンティティ・ストアとの間の認証の構成」)
管理者ユーザー・ロールの追加(システム・ストア):
システム・ストアとして指定するLDAPストアで、管理者ロール、ユーザーおよびグループを、ご使用のベンダーのドキュメントをガイドとして使用して追加します。
Oracle Access Managementコンソールから、「データ・ソース」、「ユーザー・アイデンティティ・ストア」ノードの下のhe 目的のストアの登録ページを開きます。
「アクセス・システム管理者」表にある「追加」(+)ボタンをクリックして、「システム管理者ロールの追加」ダイアログ・ボックスを表示します。
「タイプ」のリストから「ユーザー」を選択し、「検索」ボタンをクリックします。
結果の表で、目的のユーザーをクリックし、「選択済の追加」ボタンをクリックします。
必要に応じて繰り返し、他の管理者ユーザー・ロールを追加します。
「適用」をクリックしてユーザー・ロールを送信します。
管理者グループ・ロールの追加(システム・ストア):管理者グループが、グループ検索ベースで使用可能なことを確認します。
Oracle Access Managementコンソールから、「データ・ソース」、「ユーザー・アイデンティティ・ストア」ノードの下のhe 目的のストアの登録ページを開きます。
「アクセス・システム管理者」表にある「追加」(+)ボタンをクリックして、「システム管理者ロールの追加」ダイアログ・ボックスを表示します。
「タイプ」のリストから「グループ」を選択し、「検索」ボタンをクリックします。
結果のリストで、目的のグループをクリックし、「選択済の追加」ボタンをクリックします。
必要に応じて繰り返し、他の管理者グループ・ロールを追加します。
「適用」をクリックしてグループ・ロールを送信します。
新しいロールのテスト: ブラウザのウィンドウを閉じてから、再び開きます。
Oracle Access Managementコンソールからサインアウトしてブラウザ・ウィンドウを閉じます。
Oracle Access Managementコンソールを起動して、以前の管理者ロールを使用してログインを試み、これが失敗することを確認します。
新しい管理者ロールを使用してログインし、この試みが成功することを確認します。
ログインの失敗: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のトラブルシューティングに関する項の管理者のロックアウトを参照してください。
デフォルト・ストアの設定 (パッチ適用の際の移行の場合のみ): OAMAdminConsoleScheme
によって使用されるLDAP
認証モジュールは、このストアがシステム・ストアとしても指定されていないかぎり、それを指さないようにしてください。
Oracle Access Managementコンソールから、目的のストアの登録ページを開きます。
「デフォルト・ストアとして設定」の横にあるボックスを選択します。
「適用」をクリックして、「確認」ウィンドウを閉じます。
この手順を実行して、Oracle Access Managementコンソールにアクセスするときに複数のログイン・ページが表示されないようにするために、ご使用のLDAPプロバイダのオーセンティケータを作成します。
Oracle Access Managementコンソールを使用して認証を受ける場合でも、WebLogic Server管理コンソールで直接認証を受ける場合でも、すべての認証プロバイダがシングル・サインオンに対してSUFFICIENTに設定されていることを確認します。
注意: どのプロバイダもREQUIREDに設定すると、シングル・サインオンでAccess ManagerとWebLogic Serverの両方に到達するのではなく、再認証になります。 |
前提条件
Access ManagerへのOracle Internet Directoryの登録
WebLogic Serverでご使用のLDAPプロバイダを構成する手順は、次のとおりです。
WebLogic Server管理コンソールに通常通りにログインします。次に例を示します。
http://AdminServerHost:7001/console
ご使用のLDAPオーセンティケータの追加:
「セキュリティ・レルム」→「myrealm」→「プロバイダ」をクリックします。
「新規」をクリックし、名前を入力して、タイプを選択します。次に例を示します。
名前: OID Authenticator
タイプ: OracleInternetDirectoryAuthenticator
OK
「認証プロバイダ」表内で、新しく追加されたオーセンティケータをクリックします。
「設定」ページで「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定して「保存」をクリックします。
「プロバイダ固有」タブをクリックし、ご使用のデプロイメントに対して次の値を指定します。
ホスト: LDAPホスト。例: example
ポート: LDAPホストのリスニング・ポート。3060
プリンシパル: LDAP管理ユーザー。例: cn=*********
資格証明: LDAPの管理ユーザー・パスワード。********
ユーザー・ベースDN: LDAPユーザーと同じ検索ベース。
すべてのユーザーのフィルタ: 例: (&(uid=*)(objectclass=person))
ユーザー名属性: LDAPディレクトリ内のユーザー名のデフォルト属性として設定。例: uid
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)。
注意: デフォルト設定でも正常に機能するため、「すべてのグループのフィルタ」は設定しないでください。 |
保存。
DefaultIdentityAsserterの設定:
「セキュリティ・レルム」から、「myrealm」→「プロバイダ」→「認証」→「DefaultIdentityAsserter」をクリックし、構成ページを表示します。
「共通」タブをクリックして制御フラグをSUFFICIENTに設定します。
保存。
プロバイダの並替え:
プロバイダがリストされた「サマリー」ページで、「並替え」ボタンをクリックします
「認証プロバイダの並替え」ページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。
OKをクリックして変更を保存します
変更のアクティブ化: 「チェンジ・センター」で「変更のアクティブ化」をクリックします。
Oracle WebLogicサーバーを再起動します。
外部LDAPリポジトリは、次の場合に使用するユーザー、ロールおよびグループ・メンバーシップ情報を提供できます。
認証中にポリシーを評価する場合
ポリシー内の認可条件に対するアイデンティティを評価する場合
認可ポリシーでの条件のアイデンティティを検索するために、LDAPを使用する場合
この項では、Access Managerとともに新しいユーザー・アイデンティティ・ストアを使用するために必要な認証構成の概要を示します。Oracle Internet Directoryについて説明しますが、このタスクはサポートされているすべてのLDAPリポジトリに適用されます。次のトピックを参照してください。
リソースまたはリソースのグループへのアクセスは、単一の認証プロセスで制御できます。中心となるのは、ユーザーを認証するために必要なチャレンジ・メソッドおよび認証メソッドまたはプラグインを定義する認証スキームです。
基本またはフォーム・チャレンジ・メソッドでは、特定のLDAPサーバーを指す認証メソッドが必要です。たとえば、OAMAdminConsoleScheme
は、管理者ロールと資格証明をLDAPモジュールに依存します。新しいシステム・ストアを定義する場合、必ず、LDAPモジュールがそれを指すように変更してください。
注意: システム・ストアを使用する認証メソッドをすべて変更し、それらが新しいシステム・ストアを指すようにしてください。 |
表5-1は、LDAPチャレンジ・メソッドを使用する事前定義済認証スキームを示しています。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
表5-1 LDAP認証モジュールを使用するフォームおよび基本認証スキーム
次のものは、登録済ユーザー・アイデンティティ・ストアを指すLDAP認証メソッドおよび、フォームまたは基本認証にこのLDAPモジュールを使用する認証スキームをセットアップする際の手順を示しています。OAMAdminConsoleScheme
は、この例で、新しいLDAPストアをシステム・ストアとして指定したという想定の下に使用されています。環境によっては異なることがあります。
前提条件
WebLogic Serverでの認証プロバイダのセットアップ
指定したユーザー・アイデンティティ・ストアには認証に必要なすべてのユーザー資格証明が含まれていることを確認してください。
Access Managerでの認証にアイデンティティ・ストアを使用する手順は、次のとおりです。
認証モジュールおよびプラグイン: 次のものをOracle Access Managementコンソールで開きます。
LDAPモジュール: LDAP認証モジュールを開き、使用するユーザー・アイデンティティ・ストアを選択し、「適用」をクリックします。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』 |
カスタム認証モジュール: LDAPPlugin
ステップ(stepUI、UserIdentificationPlugIn
)で、使用するKEY_IDENTITY_STORE_REFを選択し、「適用」をクリックします。次に例を示します。
UserIdentificationPlugIn
この手順をstepUA UserAuthenticationPlugIn
プラグインについて繰り返し、次に示すように変更を適用します。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』 |
認証スキーム・チャレンジ・メソッド: フォームおよび基本チャレンジ・メソッドには、ユーザー・アイデンティティ・ストアを指すLDAP認証モジュールまたはプラグインへの参照が必要です。次に例を示します。
OAMAdminConsoleScheme
または任意のフォームまたは基本スキーム) 認証モジュールが、アイデンティティ・ストアを指すLDAPモジュールまたはプラグインを参照していることを確認します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』 |
Access Managerポリシーによって特定のリソースが保護されます。ポリシーおよびリソースは、アプリケーション・ドメイン内に編成されます。この項では、ユーザー・アイデンティティ・ストアを指す認証スキームを使用する認証ポリシーを構成する方法について説明します。
「ポリシーの自動作成」オプションを使用して(Oracle Access Managementコンソールまたはリモート登録ツールで)パートナを登録すると、アプリケーション・ドメインが作成され、これにポリシーがシードされます。シードされた認証ポリシーは、デフォルトとして指定されている認証スキームを使用します。また、パートナを登録せずにアプリケーション・ドメインおよびポリシーを作成できます。
関連項目: 詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。 |
前提条件
Access Managerでのユーザー・アイデンティティ・ストアに対する認証の定義
LDAP認証を使用するアプリケーション・ドメインおよびポリシーを作成する手順は、次のとおりです。
Oracle Access Managementコンソールから、次を開きます。
目的のアプリケーション・ドメインを見つけて開きます(または「作成」(+)ボタンをクリックし、一意の名前を入力してそれを保存します)。
リソース定義: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従って、定義を追加します。
認証ポリシー: 目的の認証ポリシーを開くか作成します。次に例を示します。
「ポリシー」ページで、ユーザー・アイデンティティ・ストアを指すLDAPモジュールまたはプラグインを参照するスキームを選択します。
認証スキーム: LDAP (または別のLDAPモジュールまたはプラグイン)
「適用」をクリックして、「確認」ウィンドウを閉じます。
認証ポリシーのリソース:
必要なレスポンスを加えて認証ポリシーを完了します。
認可ポリシー条件: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従って、特定のリソースに対して認可ポリシーを作成または変更し、リソース、条件およびルールとともに含めます。
トークン発行ポリシー条件: トークン発行ポリシーのアイデンティティ条件の設定時に、特定のアイデンティティ・ストアを選択します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
「認証とアクセスの検証」に進みます。
ここでの手順は、エージェント登録と認証および認可ポリシーを操作できることを確認するいくつかの方法を示しています。手順は、OAMエージェントおよびOSSOエージェント(mod_osso)でほとんど同じです。OSSOエージェントは認証ポリシーのみ使用し、認可ポリシーは使用しません。
前提条件
アクセスを付与されたユーザーおよびグループは、Access Managerに登録され、リソースを保護している認証スキームによって使用される認証モジュールまたはプラグインで指定されているLDAPユーザー・アイデンティティ・ストアに存在している必要があります。
Access Managerで操作するためにエージェントを登録する必要があります。登録後、管理サーバーまたは管理対象サーバーを再起動することなく適切な認証とともに保護されたリソースにアクセスできる必要があります。
特定のリソースに対して、アプリケーション・ドメイン、認証ポリシーおよび認可ポリシーを構成する必要があります。
認証およびアクセスを確認するには、次の手順を実行します。
Webブラウザを使用すると、登録されたエージェントで保護されたアプリケーションのURLを入力して、ログイン・ページが表示されていることを確認します(認証リダイレクトURLが適切に指定されたことが証明されます)。次に例を示します。
http://exampleWebserverHost.sample.com:8100/resource1.html
ログイン・ページにリダイレクトしていることを確認します。
「サインイン」ページで、求められた場合に有効なユーザー名およびパスワードを入力し、「サインイン」をクリックします。
リソースにリダイレクトしていることを確認し、先に進みます。
成功: 正しく認証され、リソースへのアクセスが付与された場合、構成が正常に動作します。
失敗: ログイン中にエラーを受け取った場合またはリソースへのアクセスが拒否された場合、次の項目を確認します。
失敗した認証: 有効な資格証明を使用して再度サインインします。
URL...のアクセスの拒否: このリソースのアクセスにこのユーザーIDが認可されていません。
使用不能なリソース: リソースが使用できることを確認します。
不正なリダイレクトURL: Oracle Access ManagementコンソールのリダイレクトURLを確認します。