| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
前 |
次 |
この章では、IBM WebSphereでのOracle Fusion Middlewareのセキュリティの管理およびこのプラットフォーム上のOracle Platform Security Services (OPSS)機能の一部の特異点を説明します。
OPSSは、サポート対象のプラットフォームまたはスタンドアロン・アプリケーションにデプロイされるアプリケーションの保護に使用可能なセキュリティ・プラットフォームです。
この章ではIBM WebSphereに適用される内容のみを取り上げます。すべてのプラットフォームに共通する内容はここでは取り上げませんが、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に記載されています。
この章には次の項が含まれます:
IBM WebSphereの場合、OPSSはLDAPベースのレジストリのみをサポートします。特に、WebSphereに組み込まれているファイルベースのユーザー・レジストリはサポートしません。
LDAP Oracle Fusion Middlewareに対してサポートされているLDAP認証の詳細は、http://www.oracle.com/technology/software/products/ias/files/fusion_certification.htmlを参照してください。
Open LDAP 2.2で必要な特殊な構成は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
次の項では、リポジトリの構成およびシードについて説明します。
IBM WebSphereでのLDAPレジストリの構成は、コマンドconfigureIdentityStoreを使用して行います。このオンラインの管理コマンドの構文は次のとおりです。
wsadmin> Opss.configureIdentityStore(propsFileLoc="fileLocation")
propsFileLocにより、LDAPアイデンティティ・ストアのプロパティ設定が含まれているファイルの場所が指定されます。このコマンドにより、プロパティ・ファイル内の仕様が含まれるように構成ファイルjps-config.xmlが変更されます。
Opss.configurIdentityStoreの実行後、サーバーを再起動する必要があります。
次のプロパティが必要となるため、プロパティ設定ファイルで指定する必要があります。
ldap.host
ldap.port
admin.id
admin.pass
idstore.type
user.search.bases
user.id.map
group.id.map
group.member.id.map
group.search.bases
primary.admin.id
次のリストは、IBM WebSphereレジストリに固有のオプションのプロパティです。
group.filter
user.filter
次の例は、Oracle Directory Server Enterprise Editionアイデンティティ・ストアのプロパティ設定を示しています。
user.search.bases=cn=Users,dc=us,dc=oracle,dc=com group.search.bases=cn=Groups,dc=us,dc=oracle,dc=com subscriber.name=dc=us,dc=oracle,dc=com ldap.host=stamw10.examplehost.exampledomain.com ldap.port=3060 # admin.id must be the full DN of the user in the LDAP admin.id=cn=orcladmin admin.pass=welcome1 user.filter=(&(uid=%v)(objectclass=person)) group.filter=(&(cn=%v)(objectclass=groupofuniquenames)) user.id.map=:uid group.id.map=:cn group.member.id.map=groupofuniquenames:uniquemember ssl=false # primary.admin.id indicates the user you want to be the primary # administrative user on WebSphere. It should be a user under user.search.bases. # later you need to use this user's user name and password to manage or # start/stop the server. primary.admin.id=orcladmin # optional, default to "OID" idstore.type=IPLANET # other, optional identity store properties can be configured in this file. username.attr=cn
有効なアイデンティティ・ストア・タイプは次のとおりです。
OID
IPLANET
OVD
ACTIVE_DIRECTORY
OPEN_LDAP
一部のOracle Fusion Middlewareコンポーネントでは、IBM WebSphereアイデンティティ・ストアに特定のユーザーおよびグループが含まれている必要があります。この要件が確実に満たされるようにするため、任意のツールを使用して、必要なデータをシードします。たとえば、LDIFファイルおよびLDAPユーティリティbulkloadを使用すると、ユーザーおよびグループをアイデンティティ・ストアにロードできます。次にサンプルのLDIFファイルを示します。
dn: cn=OracleSystemUser,dc=com userPassword: welcome1 sn: OracleSystemUser cn: OracleSystemUser objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: top dn: cn=OracleSystemGroup,dc=com cn: OracleSystemGroup objectclass: groupOfUniqueNames dn: cn=Administrators,dc=com cn: Administrators objectclass: groupOfUniqueNames dn: cn=SystemMDBRole,dc=com cn: SystemMDBRole objectclass: groupOfUniqueNames uniquemember: cn=OracleSystemUser,dc=com
HTTPクライアントは、Trust Association Interceptor (TAI)を使用してアイデンティティ情報をWebSphere Application Serverに渡せます。OPSSはTAIを、WebSphereセルで受信するコールを傍受するアサーションとして使用し、コンテナおよびセル全体のアイデンティティ伝搬をサポートします。
TAIを構成するには、次の手順に従います。
IBM WebSphere管理コンソールにログインします。
「Security」→「Global Security」を選択します。
表示されたページで「Authentication」に移動します。
「Web」および「SIP」セキュリティを展開し、「Trust Association」をクリックします。
「Enable Trust Association」を選択し、変更を保存します。
「Trust Association」ページに戻り、「Additional Properties」→「Interceptors」をクリックします。
「New」をクリックします。
「Interceptor Class Name」ボックスに次の文字列を入力します。
oracle.security.jps.was.providers.trust.TrustServiceAsserterTAI
このクラスはJARファイルjps-was.jarにパッケージ化されます。
変更を保存します。
デプロイでのアプリケーション・ポリシーの移行は、いくつかのパラメータによって制御されます。これらのパラメータはファイルMETA-INF/opss-application.xmlで構成します。このファイルの例は、「opss-applicationのサンプル・ファイル」を参照してください。デプロイ後にポリシー・ストアの再関連付けを行うには、「ポリシーとreassociateSecurityStoreとの再関連付け」を参照してください。
サポートされているパラメータおよび構成例は、次の項で説明します。
次のパラメータは、IBM WebSphereではサポートされていないことに注意してください。
JpsApplicationLifecycleListener Jps.apppolicy.idstoreartifact.migration Jps.policystore.migration.validate.principal
このパラメータでは、移行を実行するかどうか、移行の実行時期、およびターゲット・ストアに存在する一致するポリシーをマージするのか上書きするのかを指定します。
IBM WebSphereでは次のコード断片に示すように構成します。
<service type="POLICY_STORE"> <property name="jps.policystore.applicationid" value="stripeid" /> <property name="jps.policystore.migration" value="overwrite" /> <property name="jps.policystore.removal" value="off" /> </service>
このパラメータの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
このパラメータでは、ポリシーの移行先であるターゲット・ストライプを指定します。
IBM WebSphereでは次のコード断片に示すように構成します。
<service type="POLICY_STORE"> <property name="jps.policystore.applicationid" value="stripeid" /> <property name="jps.policystore.migration" value="overwrite" /> <property name="jps.policystore.removal" value="off" /> </service>
このパラメータの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
このパラメータでは、アンデプロイ時にポリシーの削除を実行しないかどうかを指定します。
IBM WebSphereでは次のコード断片に示すように構成します。
<service type="POLICY_STORE"> <property name="jps.policystore.applicationid" value="stripeid" /> <property name="jps.policystore.migration" value="overwrite" /> <property name="jps.policystore.removal" value="off" /> </service>
このパラメータの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
デプロイ時、アプリケーションの資格証明の移行は、いくつかのパラメータで制御されます。これらのパラメータはファイルMETA-INF/opss-application.xmlで構成します。このファイルの例は、「opss-applicationのサンプル・ファイル」を参照してください。
サポートされているパラメータおよび構成例は、次の項で説明します。
次のパラメータは、IBM WebSphereではサポートされていないことに注意してください。
jps.ApplicationLifecycleListener
このパラメータでは、移行を実行するかどうか、移行の実行時期、およびターゲット・ストアに存在する一致する資格証明をマージするのか上書きするのかを指定します。
IBM WebSphereでは次のコード断片に示すように構成します。
<service type="CREDENTIAL_STORE"> <property name="jps.credstore.migration" value="overwrite" /> </service>
jps.credstore.migrationを overwriteに設定するには、システム・プロパティjps.app.credential.overwrite.allowedがtrueである必要があります。
このパラメータの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
ポリシー・ストアを再関連付けするスクリプトreassociateSecurityStoreの詳細は、 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。このスクリプトはある程度の時間実行される可能性が高いため、例外の発生を避けるために、サーバーへの接続のタイムアウトをデフォルトより長い値にリセットする必要があります。
Oracle Entitlements Serverに対するセキュリティ・ストアの再関連付けを行うには、コマンドconfigureSecurityStoreWasを使用します。コマンドの説明は第10.3.2項にあります。
IBM WebSphereでは、デプロイメントはオンライン・モードでのみサポートされています。オフライン・デプロイメントはサポートされていません。
IBM WebSphereでは、JpsFilterとJpsInterceptorをいずれも手動で構成する必要があります。
サポートされているプロパティおよび構成例は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
システム変数oracle.deployed.app.dirとoracle.deployed.app.extを使用することによって、プラットフォームとは無関係なURLを指定できます。これらの変数を使用した構成例は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
opss-application.xmlファイルの内容の例を次に示します。
<?xml version="1.0" encoding="UTF-8" standalone='yes'?>
<opss-application xmlns="http://xmlns.oracle.com/oracleas/schema/11/opss-application-11_1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/oracleas/schema/11/opss-application-11_1.xsd" schema-major-version="11" schema-minor-version="1">
<services>
<service type="POLICY_STORE">
<property name="jps.policystore.applicationid" value="stripeid" />
<property name="jps.policystore.migration" value="MERGE" />
</service>
<service type="CREDENTIAL_STORE">
<property name="jps.credstore.migration" value="MERGE" />
</service>
</services>
</opss-application>
web.xmlファイルの要素<auth-method>は、WebLogic固有のため、IBM WebSphereではサポートされていません。この要素がある場合は、IBM WebSphereのweb.xmlファイルでサポートされている同等の機能で置換する必要があります。
Oracle Fusion Middlewareの共通監査フレームワークで提供される監査コマンドを実行するには、次の手順を実行する必要があります。
Oracle Fusion Middleware wsadminコマンドライン・シェルを起動します。
監査コマンドの前にキーワードAuditを加えます。例:
wsadmin> Audit.getAuditPolicy() wsadmin> Audit.setAuditPolicy()
wsadmin> Audit.setAuditRepository
(['switchToDB'],['dataSourceName'],['interval'])
(see Section 9.13, "Creating a Data Source" for a related topic)
監査コマンドの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
アイデンティティ・フェデレーション・イベントの監査を有効にするには、フィルタ・プリセットを「High」に設定しておく必要があります。デフォルトのレベル(「Low」)では、フェデレーション・イベントで監査レコードが生成されません。
JDBCデータ・ソースをWebSphereセルに作成するには、次の手順に従います。
WebSphereコンソールにログインし、「Resources, JDBC, DataSources」に移動します。
プルダウン・リストから適切なスコープを選択します。
「New」ボタンをクリックして「Create a data source」ページを表示し、左のパネルに示された手順に従います。
手順1では、「Data Source Name」と「JNDI Name」に入力します。「Scope」ボックスは読取り専用であり、先に選択されたスコープが示されています。「次」をクリックすると、次の手順に進みます。
手順2.1では、「Database Type」を「Oracle」に設定し、「Implementation Type」を「Connection Pool Data Source」に設定して、「Name」にプロバイダを入力します。「次」をクリックすると、次の手順に進みます。
手順2.2では、変数ORACLE_JDBC_DRIVER_PATHで示されるパスが適切に設定されていることを確認します。「次」をクリックすると、次の手順に進みます。
手順3では、JDBCのURLを適切な値に設定します。たとえば、jdbc:oracle:thin:@xyz12345.example.com:4321:orclのようになります。「次」をクリックすると、次の手順に進みます。
手順4では、リンク「Global J2C Authentication Alias」をクリックして、ページ「Data Sources」→「JAAS - J2C Authentication Data」を表示します。
このページで「New」をクリックして、「New」ページを表示します。
「New」ページで、「Alias」に入力し、「User ID」および「Password」をデータベース・ユーザーのユーザー名とパスワードを設定します。「OK」をクリックして、「JAAS-J2C Authorization」ページに戻ります。
このページで、必要に応じて「Message」ボックスを展開し、「Save」をクリックします。
ブラウザの「戻る」ボタンを使用して前述の手順4のページに戻ります。入力した認証のエイリアスを確認できるようにするには、ブラウザの「戻る」ボタンをクリックしてから「進む」ボタンをクリックしてページを最新の状態にします。
「Component-Managed Authentication Alias」および「Container-Managed Authentication Alias」を入力した認証のエイリアス(プルダウン・リストに表示されるようになっているはずです)に設定し、「Mapping-Configuration Alias」を「DefaultPrincipalMapping」に設定します。「Next」をクリックします。
「Finish」をクリックして、「Save」をクリックし、指定したデータ・ソースを保存します。
新しく作成したデータ・ソースを検証するには、「DataSource」ページに移動して「Test Connection」をクリックします。
|
注意: 前述の手順のなかには、この手順で参照していないページで行えるものもあります。たとえば、「Creating a JDBC Provider」ページや「Creating J2C Authentication Data」ページです。 |
