Oraclec Enterprise
Single Sign-On Suite
管理者ガイド
リリース11.1.2
B70179-02(原本部品番号:E27303-06)
2013年5月
Oracle Enterprise Single Sign-On Suite管理者ガイド、リリース11.1.2
B70179-02
Copyright c1998, 2013, Oracle and/or its affiliates.All rights reserved.
このプログラム(ソフトウェアおよびドキュメントを含む)には、オラクル社およびその関連会社に所有権のある情報が含まれています。このプログラムの使用または開示は、オラクル社およびその関連会社との契約に記された制約条件に従うものとします。著作権、特許権およびその他の知的財産権と工業所有権に関する法律により保護されています。独立して作成された他のソフトウェアとの互換性を得るために必要な場合、もしくは法律によって規定される場合を除き、このプログラムのリバース・エンジニアリング、逆アセンブル、逆コンパイル等は禁止されています。
このドキュメントの情報は、予告なしに変更される場合があります。このドキュメントに誤りがある場合は、書面にて米国までご報告ください。オラクル社およびその関連会社は、このドキュメントに誤りが無いことの保証は致し兼ねます。これらのプログラムのライセンス契約で許諾されている場合を除き、プログラムを形式、手段(電子的または機械的)、目的に関係なく、複製または転用することはできません。
このプログラムが米国政府機関、もしくは米国政府機関に代わってこのプログラムをライセンスまたは使用する者に提供される場合は、次の注意が適用されます。
U.S. GOVERNMENT RIGHTS.As such, use, duplication, disclosure, modification, and adaptation of the Programs, including documentation and technical data, shall be subject to the licensing restrictions set forth in the applicable Oracle license agreement, and, to the extent applicable, the additional rights set forth in FAR 52.227-19, Commercial Computer Software--Restricted Rights (June 1987).Oracle Corporation, 500 Oracle Parkway, Redwood City, CA 94065.
このプログラムは、核、航空産業、大量輸送、医療あるいはその他の危険が伴うアプリケーションへの用途を目的としておりません。このプログラムをかかる目的で使用する際、上述のアプリケーションを安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。万一かかるプログラムの使用に起因して損害が発生いたしましても、オラクル社およびその関連会社は一切責任を負いかねます。
Oracle、JD Edwards、PeopleSoft、Siebelは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
このプログラムは、第三者のWebサイトへリンクし、第三者のコンテンツ、製品、サービスへアクセスすることがあります。オラクル社およびその関連会社は第三者のWebサイトで提供されるコンテンツについては、一切の責任を負いかねます。当該コンテンツの利用は、お客様の責任になります。第三者の製品またはサービスを購入する場合は、第三者と直接の取引となります。オラクル社およびその関連会社は、第三者の製品およびサービスの品質、契約の履行(製品またはサービスの提供、保証義務を含む)に関しては責任を負いかねます。また、第三者との取引により損失や損害が発生いたしましても、オラクル社およびその関連会社は一切の責任を負いかねます。
はじめに
Oracle Fusion Middleware Enterprise Single Sign-On管理者ガイドでは、Oracle Enterprise Single Sign-On Administrative Consoleを使用して、エンタープライズのシステムおよびOracle Clientアプリケーションを構成して、ユーザーがパスワードを効率的に管理できるようにします。
Oracle Enterprise Single Sign-On Administrative Consoleでは、次のClientアプリケーションを構成できます。
・ Oracle Enterprise Single Sign-On Logon Manager (Logon Manager)とKiosk Manager
・ Oracle Enterprise Single Sign-On Password Reset (Password Reset)
また、このガイドでは次に関する手順を示しています。
・ Oracle Enterprise Single Sign-On Anywhere (Anywhere)を使用した、Logon ManagerおよびOracle Enterprise Single Sign-On Provisioning Gateway (Provisioning Gateway)の作成およびデプロイ
・ エンタープライズの事実上すべての日常のアクティビティに関するレポートを生成するための、Oracle Enterprise Single Sign-On Suite Reportingサービスの構成
最後に、このガイドでは、Provisioning GatewayおよびOracle Enterprise Single Sign-On Universal Authentication Manager (Universal Authentication Manager)に関連する管理タスクの統合について簡単に説明します。これらの使用方法に関する詳細は、その製品の管理者ガイドを別途参照してください。
対象読者
このガイドは、Oracle Enterprise Single Sign-On Suiteの計画、実装およびデプロイメントを担当する熟練した管理者を対象としています。管理者は、パスワード・ポリシー、ログオン方法、資格証明共有グループ、アプリケーションの構成などのシングル・サインオンの概念を理解し、ディレクトリ・サーバー、データベースおよびリポジトリの構成に精通していることが求められます。また、インストールおよび構成手順を実行する人物は、会社のシステム標準を熟知している必要もあります。読者は、日常的なセキュリティ管理タスクを実行できる必要があります。
Oracle Supportへのアクセス
Oracleサポート・サービスでは、My Oracle Supportを通して電子支援サービスを提供しています。詳細は、http://www.oracle.com/support/contact.htmlまたはhttp://www.oracle.com/accessibility/support.html(聴覚障害者向け)を参照してください。
関連ドキュメント
詳細は、このリリースのOracle Enterprise Single Sign-On Suiteドキュメント・セットの他のドキュメントを参照してください。
Oracle Enterprise Single Sign-On Suite
リリース・ノート
インストレーション・ガイド
管理者ガイド
セキュア・デプロイメント・ガイド
ユーザーズ・ガイド
Oracle Enterprise Single Sign-On Logon Manager
ディレクトリベースのリポジトリを使用したLogon Managerのデプロイ
Logon Managerのアプリケーション・テンプレートの構成と診断
Oracle Enterprise Single Sign-On Provisioning Gateway
管理者ガイド
コマンドライン・インタフェース・ガイド
Oracle Identity Managerコネクタ・ガイド
Sun Java System Identity Managerコネクタ・ガイド
IBM Tivoli Identity Managerコネクタ・ガイド
Oracle Enterprise Single Sign-On Universal Authentication Manager
管理者ガイド
ユーザーズ・ガイド
表記規則
このマニュアルでは次の表記規則を使用します:
|
表記規則
|
意味
|
|
太字
|
太字は、操作に関連するGraphical User Interface要素、または本文中で定義されている用語および用語集に記載されている用語を示します。
|
|
イタリック
|
イタリックは、ユーザーが特定の値を指定するプレースホルダー変数を示します。
|
|
固定幅
|
固定幅フォントは、段落内のコマンド、URL、サンプル内のコード、画面に表示されるテキスト、または入力するテキストを示します。
|
第I部 Oracle Enterprise Single Sign-On Suiteの概要
Oracle Enterprise Single Sign-On Suiteは、エンタープライズ・ユーザーのパスワード、および日常業務に使用するアプリケーションの厳密な認証アクティビティを管理するための総合的ソリューションであり、ユーザーは1つのユニバーサル・パスワードを覚えるだけで済みます。
スイートのコンポーネント
このスイートは、次のコンポーネントで構成されています。
Logon Manager
Logon Managerでは、ユーザーは1つのパスワードを使用して、社内ネットワークとインターネットの両方のあらゆるアプリケーションにログオンできます。プログラミングやネットワーク・インフラストラクチャの追加を行わなくても、すぐに使用できる状態になっています。Windows、Web、プロプライエタリまたはホストベースのあらゆるアプリケーションと連携するため、統合のための費用と負荷が発生せず、ITおよびヘルプ・デスクのコストが削減されます。
Logon Managerは、ユーザーにかわり、ユーザーのデスクトップからログオン・リクエストに直接応答することによって機能するインテリジェント・エージェント・ソフトウェアです。このエージェントは、直接および自動的に正しい資格証明(ユーザー名/IDやパスワードなどのフィールド)を指定することによって、各ソフトウェア・アプリケーションのログオン・リクエストに応答します。厳密な認証メカニズムによって、エージェントへのアクセスが制御されるため、指定されたユーザーのみがアクセスできます。
Kiosk Managerは、Oracle Enterprise Single Sign-On Administrative Consoleから構成可能な機能で、キオスク環境での従来のシングル・サインオンのニーズに対処するための、セキュアで、使いやすく、管理しやすいソリューションを実現する一連の設定を提供します。Kiosk Managerには、アクティブでないセッションを一時停止またはクローズしたり、すべてのアプリケーションをシームレスに停止するためのクライアント側のエージェントがあります。この機能はLogon ManagerおよびUniversal Authentication Managerと統合され、Windowsパスワードまたは任意のサポートされているプライマリ・オーセンティケータを使用することで、キオスクに対するユーザーの識別を提供します。
Password Reset
Password Resetでは、ワークステーション・ユーザーが、管理者またはヘルプデスクが介入しなくても、自分のWindowsドメイン・パスワードをリセットできます。これによってエンド・ユーザーは、一連のパスフレーズ質問で構成されるクイズに答えることで自分自身を認証する代替手段が得られます。
各質問は、ポイント値で重み付けされます。エンド・ユーザーがテストの質問に答えている間、Password Resetによってスコアが記録されます。回答が正しいとスコアにポイントが追加され、誤っていると減点されます。エンド・ユーザーは、事前設定された信頼度を満たす十分なポイントを取得すると、Password Resetによって新しいパスワードの選択を許可されます。すべての質問を終了した後で、エンド・ユーザーのスコアが必要な信頼度に到達しなかった場合、または事前設定された負の値を下回る場合は、クイズが終了し、エンド・ユーザーはパスワードのリセットを許可されません。
パスフレーズの回答を記録する1回かぎりの登録インタビューが終了すると、各エンド・ユーザーはリセット・サービスを使用できるようになります。Oracle Enterprise Single Sign-On Administrative Consoleでは、登録インタビューおよびリセット・クイズ(質問テキスト、ポイント値、信頼度の制限など)を簡単に構成できます。また、このコンソールによって、登録とリセットのアクティビティおよびステータスに関するレポートも生成できます。
Provisioning Gateway
Provisioning Gatewayでは、各ユーザーのLogon Manager資格証明ストア内で、アプリケーションの資格証明の追加、変更および削除をリモートから直接実行可能にすることによって、ローカルの資格証明取得の必要がなくなり、ユーザーはターゲット・アプリケーションにすぐにアクセスできるようになります。Provisioning Gateway Administrative Consoleは、ブラウザベースのスタンドアロン・アプリケーションです。このコンポーネントの構成および使用方法については、Provisioning Gateway管理者ガイドを別途参照してください。
Anywhere
Oracle Enterprise Single Sign-On Anywhere (Anywhere)は、ポータブルなシングル・サインオン(SSO)テクノロジの最新技術であり、エンド・ユーザーのデスクトップへのLogon Managerのデプロイメントを可能にします。
管理者は、Anywhereコンソールを使用して、社内ユーザーが必要としているとおりに構成されたLogon Managerが含まれるデプロイメント・パッケージを作成し、それをWebサーバーまたはファイル共有で使用可能にします。ユーザーは、管理者がカスタマイズしたAnywhereパッケージに含まれるHTMLインタフェースから、デプロイメント・パッケージをダウンロードします。ユーザーは、ボタンをクリックするだけで自分のワークステーションにOracle製品スイートをインストールできるうえ、構成が正しく、すぐに実行可能であることが保証されており、管理者の操作も必要ありません。
Universal Authentication Manager
Oracle Enterprise Single Sign-On Universal Authentication Manager (Universal Authentication Manager)を使用すると、企業は、Microsoft WindowsおよびActive Directoryネットワークへのネイティブのパスワード・ログオンを、より強力で使いやすい認証方法に置き換えることができます。Universal Authentication Managerシステムでは、2要素認証方式も提供されており、従来のパスワード認証を上回るように社内セキュリティが拡張されます。Universal Authentication Managerでは、ユーザーの特定および認証に使用される資格証明を迅速かつ安全に登録できます。Universal Authentication Managerでは、スマート・カード、パッシブ型近接型カード、指紋による生体認証などの生物測定技術、チャレンジ質問の5つの構成可能な組込みの認証方式が提供されています。ネイティブのWindowsパスワードもサポートされます。
このコンポーネントの構成および使用方法については、Universal Authentication Manager管理者ガイドを別途参照してください。
レポーティング
Oracle Enterprise Single Sign-On Suiteコンポーネントには、構成可能なレポーティング・ツールが含まれています。このツールは、Oracle Business Intelligence Publisherに統合され、通常業務で発生するほぼすべてのイベントに関するカスタマイズされたレポートを生成します。
Suite Administration
Logon Manager、Password ResetおよびUniversal Authentication Managerの設定は、Oracle Enterprise Single Sign-On Administrative Consoleを使用して行います。AnywhereおよびProvisioning Gatewayには、スタンドアロンの管理コンソールがあります。各コンポーネントには、独自のレポーティング設定があります。
Oracle Enterprise Single Sign-On Administrative Consoleの概要
Oracle Enterprise Single Sign-On Administrative ConsoleにはLogon ManagerとPassword Resetの管理機能が組み込まれており、次のような多数のオプションのエージェント/クライアントおよびサーバー構成が可能になります:
・ 次のものの容易な作成、管理およびデプロイメント:
o アプリケーション構成およびアプリケーション構成リスト。
o 資格証明共有グループ。
o パスワード・ポリシー。
o バルク追加リスト。
o エージェント構成設定。
o カスタマイズ済MSI。
・ シンクロナイザ拡張の容易な設定と管理:
o LDAPディレクトリ・サーバー(Oracle Directory Server Enterprise Edition、Oracle Internet Directory、Oracle Unified Directory、Oracle Virtual Directory、Tivoli Directory Server、Novell eDirectory、OpenLDAP Directory Server、Siemens Dirxなど)。
o リレーショナル・データベース・システム(Oracle、Microsoft SQL Server、IBM DB2など)。
o Microsoft Active Directory Serverシステム(AD LDS (ADAM)など)。
o ファイル・システム。
・ 次のようなPassword Resetの容易な設定:
o サービス記憶域の構成。
o パスワードを登録したユーザーまたはリセットを試みたユーザーの追跡。
o 登録インタビュー用の質問の作成およびリセット・クイズに対する彼らのポイント値の割当て。
o 登録インタビューおよびリセット・クイズ用のユーザー・インタフェースのカスタマイズ。
・ キオスク環境でのユーザー認証の容易な構成と管理。
・ ReportingとOracle Business Intelligence Publisher (BI Publisher)の容易な統合による、通常業務で発生する可能性のあるすべての種類のイベントのレポートの生成。
Oracle Enterprise Single Sign-On Administrative Consoleでは、構成ファイルまたはレジストリを手動で編集する必要がなくなり、不要なキーに触ったり、または無効なパラメータを入力するなどの危険性がなくなりました。
Oracle Enterprise Single Sign-On Administrative Consoleの機能は、次に示すいくつかの領域に分類されます(関連項目も示します)。
Logon Managerのメイン・メニュー・コマンド
次の表では、Oracle Enterprise Single Sign-On Administrative Consoleのメイン・メニューに用意されているコマンド、およびそれに対応するキーボードおよびマウスのショートカットについて説明します。
|
メニュー
|
コマンド
|
説明
|
ショートカット
|
|
File
|
New
|
新しい構成を開始します。
|
[Ctrl]+[N]
|
|
Open
|
Open
|
[Ctrl]+[O]
|
|
Merge
|
現在の構成(アプリケーション、パスワード生成ポリシー、資格証明共有グループ)を構成ファイルとマージします。
|
|
マージしたファイルに現在の構成の項目と同じ名前の項目が含まれている場合は、「Import/Merge Conflict」ダイアログ・ボックスが表示されます。インポートする項目を選択し、「OK」をクリックします。
|
|
|
インポートしたファイルに現在の構成の既存セットと同じ名前のグローバル・エージェント設定セットが含まれている場合は、インポートしたセットに「Copy of existing settings」という名前が付与されます。
|
|
|
|
Save
|
現在の構成をファイル(XML)に保存します。
|
[Ctrl]+[S]
|
|
Save As
|
現在の構成のコピーを別のファイルに保存します。
|
|
|
Import
|
構成を管理オーバーライド・オブジェクト(INI)ファイルまたはレジストリ・エントリ(REG)ファイルからグローバル・エージェント設定の新しいセットとしてインポートします。
|
|
インポートしたファイルに現在の構成の項目と同じ名前の項目(アプリケーション、ポリシー、グループ)が含まれている場合は、「Import/Merge Conflict」ダイアログ・ボックスが表示されます。
|
|
「Applications」を右クリックし、「Import」を選択します。
または[Ctrl]+[I]
|
|
グローバル・エージェント設定をローカル・マシン・レジストリからOracle Enterprise Single Sign-On Administrative ConsoleにLiveという名前のセットとしてインポートするには、「Import from HKLM」を選択します。
|
|
|
Export
|
選択したアプリケーション、およびすべてのパスワード・ポリシーとグループをentlist.iniファイル(アプリケーション・ログオンの保存場所)にエクスポートします。
|
「Applications」を右クリックし、「Export」または[Ctrl]+[E]を選択します。
|
|
Exit
|
プログラムを終了します。
|
|
|
メニュー
|
コマンド
|
説明
|
ショートカット
|
|
Edit
|
Delete
|
左側のペインで選択されている項目を削除します。確定するには「Yes」、取り消すには「No」をクリックします。
|
[Del]
|
|
メニュー
|
コマンド
|
説明
|
ショートカット
|
|
Insert
|
Application
|
新しいアプリケーション構成を追加し、「Add Application」ダイアログ・ボックスを表示します。
|
「Applications」を右クリックし、「New Windows App」、「New Web App」または「New Host App」を選択します。
|
|
UAM Policy
|
新しいUAMポリシーを追加し、「New UAM Policy」ダイアログ・ボックスを表示します。
|
「Policies」を右クリックし、「New Policy」を選択します。
|
|
Password Generation Policy
|
新しいパスワード生成ポリシーを追加し、「Add Password Policy」ダイアログ・ボックスを表示します。
・ ポリシー名を入力し、「OK」をクリックします。
|
「Password Generation Policy」を右クリックし、「New Policy」を選択します。
|
|
Passphrase Questions
|
新しいパスフレーズ・セットを追加し、「Add Passphrase Set」ダイアログ・ボックスを表示します。
パスフレーズ・セット名を入力し、「OK」をクリックします。
|
「Passphrase Questions」を右クリックし、「New Passphrase Set」を選択します。
|
|
Credential Sharing Group
|
新しい資格証明共有グループを追加し、「Add Sharing Group」ダイアログ・ボックスを表示します。
・ グループ名を入力し、「OK」をクリックします。
・ ・ポリシー名を入力し、「OK」をクリックします。
|
「Credential Sharing Group」を右クリックし、「New Group」を選択します。
|
|
Exclusion List
|
新しい除外リストを追加し、「Add Exclusion List」ダイアログ・ボックスを表示します。
リストの名前を入力し、「OK」をクリックします。
|
・ 左側のペインで「Exclusions」ノードを選択し、右側のペインの下部で「Add」をクリックします。
・ 「Exclusions」ノードを右クリックし、コンテキスト・メニューから「New List」を選択します。
・ 「Exclusions」ノードを選択し、右側のペインの空いているスペースを右クリックします。
|
|
Global Agent Settings
|
現在の構成をファイル(XML)に保存します。
|
「Global Agent Settings」を右クリックし、「New Settings」を選択します。
|
|
Sync Extension
|
現在の構成のコピーを別のファイルに保存します。
|
「Synchronization」を右クリックし、「Manage Synchronizers」を選択します。
|
|
メニュー
|
コマンド
|
説明
|
|
Repository
|
Extend Schema
|
同期リポジトリに接続し、新しい同期スキーマを作成します(LDAPおよびデータベース同期サポート用)。「Connect to Repository」ダイアログ・ボックスを表示します。
|
|
Initialize UAM Storage
|
Universal Authentication Managerデータを格納する静的リポジトリ・コンテナを作成します。
|
|
Use Short Names
|
リポジトリでユーザー資格証明コンテナの表示または非表示を切り替えるには、これを選択または選択解除します。
|
|
Show User Credential Containers
|
「Repository」ウィンドウのツリー・ビューで、Logon Managerユーザー資格証明コンテナの表示または非表示を切り替えるには、これを選択または選択解除します。
|
|
メニュー
|
コマンド
|
説明
|
|
Tools
|
Publish to Repository
|
「Publish to Repository」ダイアログ・ボックスを開き、公開するオブジェクトを同時に複数選択できます。
|
|
Export Apps to Agent
|
ローカルにインストールしたエージェントの事前構成ログオンのリストに、現在のOracle Enterprise Single Sign-On Administrative Consoleセッションのアプリケーション・ログオンを追加します。このオプションによって、ローカルのentlist.iniファイル以外に、オプションでftulist.ini (初回使用)ファイルも更新されます。
|
|
Write Global Agent Settings to HKLM
|
グローバル・エージェント設定をローカル・マシン・レジストリにエクスポートし、確認メッセージを表示します。
|
|
Test Global Agent Settings
|
Oracle Test Managerを起動して、グローバル・エージェント設定が正しく構成されていることを検証します。このツールの使用手順については、「構成テスト・マネージャ」を参照してください。
|
|
Manage Templates
|
アプリケーション・ログオンのテンプレートを作成、変更および削除し、「Manage Templates」ダイアログ・ボックスを表示します。
|
|
Update Applications
|
アプリケーションの作成後に変更されたテンプレートに基づいて、アプリケーションを更新し、「Update Applications」ダイアログ・ボックスを表示します。
|
|
Modify Configuration
|
ローカルにインストールされたLogon Managerエージェントの構成(INI)ファイルを表示または編集します。Applistを選択するか、FTUlist、EntList、MfrmList、またはそれ以外のINIファイルを名前を指定して開きます。
|
|
Generate Customized MSI
|
Logon Managerエンド・ユーザーへの大量デプロイメントに使用するカスタム.MSIファイルを作成するための、Oracle MSIジェネレータ(ウィザード形式のユーティリティ)を起動します。
|
Password Resetコンソールのメイン・メニュー・コマンド
次の表に、Oracle Enterprise Single Sign-On Administrative Consoleの「Password Reset」ノードのメニュー構造と使用可能なコマンドを示します。
|
|
新しい設定を適用するには、各設定タブの下部の「Submit」ボタンをクリックする必要があります。
|
|
ツリーの最上位
|
タブ
|
説明
|
|
Password Reset
|
Admin Web Service URL
|
管理Webサービスに接続します。
有効なURLを入力すると、下位のノードが使用可能になります。
|
|
ノード
|
タブ
|
説明
|
|
System
|
Storage
|
記憶域を構成、優先度付けおよび初期化します。
|
|
Reset Service
|
リセット・サービス・アカウントを監視および構成します。
|
|
ノード
|
タブ
|
説明
|
|
Settings
|
Settings
|
次を構成します。
・ 認証しきい値
・ リセットのロックアウト
・ 登録の強制
・ ユーザー電子メール
・ リセットの経験
|
|
Password Complexity
|
次を構成します。
・ 長さと繰返しの制限
・ 許可される英文字
・ 許可される数字
・ 許可される特殊文字
|
|
Alerts
|
次を構成します。
・ 電子メールの設定
・ アラート条件
|
|
Logging
|
次を構成します。
・ Syslogの有効化
・ イベント・フィルタ
|
|
Reporting
|
次を構成します。
・ レポーティング設定
・ データベース設定
|
|
Enrollment UI
|
次のような、登録ユーザー・インタフェースの要素のルック・アンド・フィールを構成します。
・ ロゴ
・ フォント
・ 背景、枠線および前景の色
|
|
Reset UI
|
次のような、リセット・ユーザー・インタフェースの要素のルック・アンド・フィールを構成します。
・ ロゴ
・ フォント
・ 背景、枠線および前景の色
|
|
ノード
|
タブ
|
説明
|
|
Questions
|
System Questions
|
システム質問を作成し、表示される言語を指定します。
|
|
ノード
|
タブ
|
説明
|
|
Users
|
Manage Users
|
ユーザーは、このタブで指定する基準を使用して検索を実行します。
|
|
ノード
|
タブ
|
説明
|
|
Enrollments
|
Manage Enrollments
|
指定した日付に基づいて登録の検索を実行し、ログを表示、エクスポートおよび削除します。
|
|
ノード
|
タブ
|
説明
|
|
Resets
|
Manage Resets
|
指定した日付に基づいてリセットの検索を実行し、ログを表示、エクスポートおよび削除します。
|
第II部: Administrative Consoleを使用したLogon Managerの構成
この項では、Oracle Enterprise Single Sign-On Administrative Consoleでの手順および設定と、これらを使用したエンド・ユーザーのリポジトリ、接続およびLogon Managerの構成方法について説明します。
この項では、次の内容について習得します。
・ Logon Managerの機能。
・ デプロイメントの計画。
・ サーバーの構成。
・ リポジトリの使用。
・ 同期の設定。
・ ユーザー・データの管理。
・ テンプレートの作成。
・ エージェントの構成。
・ エージェントの配付。
・ Kiosk Managerとのセッションの構成。
製品概要
Logon Managerでは、特有のプロセスを使用して、資格証明に対するリクエストの検出、必要な応答の分析、信頼性の高い応答、イベントのロギングおよび設定の管理を行います。
アーキテクチャ/モジュール
Logon Managerンポーネントのアーキテクチャでは、柔軟性を最大限に発揮して、組織のニーズに対応します。
Logon Managerのアーキテクチャは、次の7つの領域で構成されています。
・ 認証
・ 暗号化
・ インテリジェント・エージェント・レスポンス
・ コア(ストレージを含む)
・ 資格証明の同期
・ イベント・ロギング
・ その他のコンポーネント
さらに、Oracle Enterprise Single Sign-On Administrative Consoleによって管理が容易になります。
認証
認証は、システムがユーザーを検証してLogon Managerにアクセスできるようにする方法です。認証は、(1)オーセンティケータ自体、(2)認証サービス、(3)Logon ManagerのオーセンティケータAPIという3つのレイヤーで構成されています。 システムがユーザーの検証を行った後、そのユーザー検証情報がコア・シェルに渡されます。
Logon Managerでは、次のオーセンティケータが提供されています。
・ Windowsドメイン(同じパスワードがネットワークへのログオンに使用される) (バージョン11.1.2から非推奨)
・ Windows Authentication v2
・ LDAP Directory Server
・ LDAP Directory Server v2
・ Authentication Manager
・ Entrust Entelligence
・ 近接型カード
・ 読取り専用スマート・カード
・ RSA SecurID
・ スマート・カード
サポートするオーセンティケータ、各コンピュータにインストールするオーセンティケータ、および各ユーザーに対して有効にするオーセンティケータを決定します。 (デフォルトでは、Windows Authentication v2がインストールされています)
詳細は、「Windows認証用の構成」を参照してください。
暗号化
暗号化によって、データ・ストアのユーザー資格証明が保護されます。 エージェントは、適切なCrypto Libraryアルゴリズムに基づいて資格証明が暗号化/復号化されることを要求します。 エージェントは、自動的に資格証明を新しいアルゴリズム/強度(Triple-DESからAESなど)に移行します。
Logon Managerでは、様々な暗号化アルゴリズムおよびアルゴリズム強度がサポートされており、企業、法律、セキュリティ、パフォーマンスなどの要件に対応しています。
Logon Managerでは、いくつかの一般的なアルゴリズムが提供されています。
・ AES (MS CAPI) (デフォルト)
・ Cobra 128ビット(非推奨)
・ Blowfish 448ビット(非推奨)
・ Triple-DES 168ビット(非推奨)
・ AES 256ビット(非推奨)
・ Triple-DES (MS CAPI) (すべてのOS)(非推奨)
・ Triple-DES (MS CAPI) (XP/2003のみ)(非推奨)
・ RC-4 (MS CAPI) (すべてのOS)(非推奨)
・ RC-4 (MS CAPI) (XP/2003のみ)(非推奨)
その他のアルゴリズムも暗号化モジュールとして機能できます。
ユーザーが使用できる暗号化アルゴリズム、および新規または変更された資格証明で使用すべき暗号化を決定します。
|
|
バージョン11.1.2では、AES (MS CAPI)をサポートするすべての暗号化アルゴリズムが非推奨になっています。その他のアルゴリズムは、アップグレード・シナリオに関してのみリストされています。
|
デフォルトのアルゴリズムおよび強度の設定の詳細は、グローバル・エージェント・セキュリティ設定に関する説明を参照してください。
インテリジェント・エージェント・レスポンス
アプリケーションが資格証明のリクエストを提示した場合、エージェントはこのイベントを検出し、適切なアクションを決定し、正しい資格証明で応答します。 これらの評価を実行するインタフェースがインテリジェント・エージェント・レスポンスです。これがAccess Managerと接続して、適切な資格証明を各アプリケーションに提供します。 Access Managerはシェルから資格証明を取得します。
Windowsサポートは自動インストールされます。 Webアプリケーションまたはホスト・アプリケーション(あるいはその両方)のサポートをインストールするかどうかを決定します。 (デフォルトでは、すべてのモジュールがインストールされていますが、ホストのサポートは無効になっています。)
Logon Managerでは、組み込まれている一般的なアプリケーションの構成情報が提供されています。
組込みアプリケーションの詳細は、含まれているアプリケーションの構成に関する説明を参照してください。 他のアプリケーション構成の追加の詳細は、アプリケーション・テンプレートの構成に関する説明を参照してください。
アプリケーションの構成
Logon Managerは、デフォルトのインストール設定で動作できます。 ただし、Logon Managerには柔軟性があるため、任意の組織の具体的なニーズにも対応できます。 最も一般的にカスタマイズされた機能を次に示します。
・ アプリケーション・テンプレート: 事前定義されたログオン・リストからユーザーが選択できるようにすることによって、操作性を改善します。 アプリケーションには、Windowsアプリケーション、Webアプリケーションおよびホスト・アプリケーションがあります。
・ 可動性のサポート: 位置の透過性と自動バックアップおよびリストアを実現します。
・ イベント・ロギング: ログオンやパスワード変更などの様々なイベントをLogon Managerがログに記録できるようにします。
・ 初回使用: ユーザー設定プロセスをカスタマイズして、組織のニーズへの対応と操作性の改善を行います。
・ パスワード・ポリシー: 企業のセキュリティ・ポリシーの伝播、セキュリティの改善、および自動化されているときの操作性の改善を行います。
・ Logon Manager設定: UIの制御、セキュリティの実装、機能の有効化、無効化と構成などを行います。
これらの各決定は、計画、デプロイメント、使用、管理の各段階に影響を与えます。
ホスト・エミュレータ
Logon Managerでは、多数のホスト・エミュレータがサポートされています。 これが存在する場合は、エージェントがどれを認識するかを決定します。 (デフォルトでは、エージェントは、サポートされているすべてのエミュレータに対して機能しますが、エミュレータによっては、エミュレータの構成が必要になる場合があります)。
Logon Managerをデプロイする前に、エージェントとともに機能するようにホスト・エミュレータを構成することをお薦めします。
ホスト・エミュレータの詳細は、「ホスト・エミュレータの構成」を参照してください。
エージェント(記憶域を含む)
優先暗号化アルゴリズムを使用して、エージェントはユーザー資格証明を暗号化し、暗号化されたローカルの資格証明ストレージにローカルに格納します(エージェントが、ディスク上やメモリー内に、資格証明を暗号化されていない状態で保持することはありません)。 資格証明はユーザー固有のセキュアなデータベース・ファイルに格納されます。 このファイルに格納されるのは、ユーザー資格証明、ユーザー設定、構成に関する追加情報の各セットを暗号化したレコードです。
資格証明の同期
エージェントは、ユーザーの資格証明および設定をローカルに格納しますが、この資格証明および設定をリモート・ファイル・システム、ディレクトリ、データベース、デバイスなどと同期することができます。同期の対象にできるのは、(すべてのユーザー資格証明が格納されている)ユーザーのデータベース・ファイル全体またはデータベース内の個々のレコードです。 同期は、ローカル資格証明ストレージまたは設定の変更によって発生します。 同期は、同期APIを経由して、任意のストレージ・メカニズムに対して拡張することもできます。
エージェント管理は、同期コンポーネントを経由して全面サポートされています。また、管理者は、集中ストレージ・メカニズムを使用して、更新された設定および構成データをエージェントに動的に配信できます。
同期拡張
エージェントは様々な同期拡張を行うため、ユーザーは任意のデスクトップから自分の資格証明にアクセスできます。
Logon Managerに含まれているシンクロナイザ拡張は、次のとおりです。
・ Microsoft Active Directory
・ Microsoft Active Directory Lightweight Directory Services (AD LDS)。旧称はMicrosoft Active Directory Application Mode (ADAM) (以降、AD LDS (ADAM)と呼びます)
・ Lightweight Directory Access Protocol (LDAP)
・ データベース
・ ・ファイル・システム
Logon Managerでは、次のような最も一般的なLDAP対応のディレクトリ・サーバーがサポートされています。
・ Oracle Directory Server Enterprise Edition
・ Oracle Internet Directory
・ Oracle Unified Directory
・ Oracle Virtual Directory
・ IBM Tivoli Directory Server
・ Microsoft Active Directory Server
・ Novell eDirectory
・ OpenLDAPディレクトリ・サーバー
・ 次のようなSQL対応のリレーショナル・データベース・システム
o Oracle Database
o Microsoft SQL Server
o IBM DB2
|
|
特定のバージョンの情報については、最新のOracle Enterprise Single Sign-On Suiteリリース・ノートを参照してください。
|
Logon Managerには、リモートのネットワーク・ドライブ共有などで、1つのファイル・システムをサポートするシンクロナイザ拡張もあります。
各コンピュータにインストールする同期モジュール、各ユーザーに対して有効にするモジュール、および各拡張の構成方法を決定します。(デフォルトでは、シンクロナイザ・モジュールはインストールされていますが、同期拡張はインストールされていません。)
・ 可動性の詳細は、「可動性の構成」を参照してください。
・ 同期の詳細は、「ユーザー資格証明および設定の格納」を参照してください。
・ ディレクトリ・サーバーの詳細は、「ディレクトリ・サーバー同期サポート」を参照してください。
・ データベース・システムの詳細は、「データベース同期サポート」を参照してください。
・ ファイル・システム同期拡張の詳細は、「ファイル・システム同期サポート」を参照してください。
イベント・ロギング
エージェントは、シェルからの通知を受けて、資格証明の使用、資格証明の変更、グローバルな資格証明イベント、エージェントのイベント、エージェント機能の使用を含む、すべてのSSOシステム・イベントをログに記録できます。 また、エージェントは、指定されたフィールドをログに記録することもできます。イベントは、ローカルに記録することも、イベント・ロギングAPIを経由して任意の外部の宛先に記録することもできます。これらの宛先には、SNMPサービス、(Windowsイベント・ログを経由して表示するための) Windowsサーバー、簡略化されたな解析および報告を行うためのローカルのXMLログ・ファイルがあります。
エージェントは、イベント・ロギングAPIを使用して、すべてのイベントをログに記録できます。
Logon Managerは様々なイベント・ロギング拡張を行いますが、ローカルとリモートの両方のサーバーに書き込むイベント・ロギング拡張には次の2つがあります。
・ ローカル・ファイル拡張: 書込み先はXMLファイル
・ Windowsイベント・ロギング拡張: 書込み先はWindowsイベント・ロギング・サーバー
・ データベースへのイベント・ロギング
・ Syslogサーバーへのイベント・ロギング
Oracleから追加の拡張をリリースする可能性があり(OracleやSNMPなど)、ユーザー独自の拡張を簡単に記述することもできます。
各コンピュータにインストールするイベント・ロギング・モジュール、各ユーザーに対して有効にするモジュール、拡張の構成方法、これらの拡張にエージェントが書き込む頻度、エージェントがキャッシュするデータの量、エージェントによるログの書込み先などを決定します。(デフォルトでは、イベント・ロギング・モジュールはインストールされておらず、ロギングも行われません。)
詳細は、「イベント・ロギング」を参照してください。
その他のコンポーネント
Logon Managerには、次のようなその他のモジュールも含まれています。
Backup/Restore
資格証明の同期を実行しないユーザーのために、バックアップ/リストア・コンポーネントによって、ユーザー資格証明をアーカイブおよびリストアすることができます。
CitrixおよびWindows Terminal Servicesのツール
Citrix ServerまたはWindows Terminal Services環境でエージェントを使用する必要がある環境の場合、Logon Managerが各セッション内で適切に対話できるように、追加のコンポーネントが提供されています。
インストーラ・パッケージ
Logon Managerは、Windows Installerパッケージに含まれており、そのテクノロジの柔軟性を活かし、デプロイメントとカスタマイズが簡単にできるようになっています。
共通のシナリオ
初回使用
エージェントは、ユーザーに対して、事前定義されたアプリケーションの現在の資格証明を入力するように要求できます。 資格証明がある場合は、どの資格証明を要求するかを決定します。 (デフォルトでは、エージェントは、どのアプリケーションの資格証明も要求しません。)
初回使用時の問題の詳細は、「初回使用(バルク追加)」を参照してください。
ユーザー作業モード
Logon Managerでは、「One Workstation, One or Multiple Users」から「Frequent Movement Among Many Workstations」、および常時接続から頻繁な切断までの作業モードがサポートされています。
初回使用時の問題の詳細は、「ユーザー作業モード」を参照してください。
操作とセキュリティ
Logon Managerでは、組織に適した操作性とセキュリティのバランスを選択できます。デフォルトの構成で企業の安全は確保されますが、必要に応じてこれらの設定を柔軟に調整することができます。セキュリティ推奨の詳細は、Oracle Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイドラインを参照してください。
初回使用時の問題の詳細は、操作性の制御の設定に関する項を参照してください。
パッケージング/配信/インストール
Logon Managerは、ほとんどのデプロイメント・ツールおよびデプロイメント・メソッドをサポートしています。どのコンポーネントをどのデスクトップにデプロイするかを決定します。
デプロイメントの詳細は、Logon Managerのデプロイメントに関する説明を参照してください。
リソース
Logon Managerでは、プログラミング・ファイル、設定およびデータが、すべて次の場所に格納されます。
・ %ProgramFiles%\Passlogix\v-GO SSOディレクトリには、Logon Managerプログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\Logon Managerです)
・ %ProgramFiles%\Passlogix\v-GO SSO\Consoleディレクトリには、Oracle Enterprise Single Sign-On Administrative Consoleプログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\v-GO SSO\Consoleです)
・ %ProgramFiles%\Passlogix\SSO File Sync Serviceディレクトリには、SSO File Sync Serviceプログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\SSO File Sync Serviceです)
・ %AppData%\Passlogixディレクトリには、ユーザー・データ・ファイルが含まれています。(デフォルトはOSによって異なり、Windows 7の場合はC:\Users\%Username%\AppData\Roaming\Passlogixです)
・ HKCUレジストリ・ツリーには、ユーザーのデフォルト設定が格納されます。
・ HKEY_LOCAL_MACHINE\SOFTWARE\Passlogixレジストリ・ツリーには、オーバーライド設定(ユーザー設定よりも優先される設定)およびLogon Managerのデフォルトが格納されます。
・ ディレクトリ・サーバー上のvGOLocatorオブジェクトは、Logon Managerを各ユーザーの資格証明が格納される場所(vGOConfigオブジェクト)に向けます。
・ ディレクトリ・サーバー上のvGOConfigオブジェクトおよびファイル・システム上の類似オブジェクトには、オーバーライド設定およびユーザー・データが格納されます。
|
|
vGOConfigオブジェクトの設定は、レジストリ設定をオーバーライドします。vGOConfigはデフォルトの名前であり、このファイルは任意の名前を持つことができます。
|
Logon Managerの機能
次の表に、Logon Managerの主な機能をまとめます。
|
機能
|
利点
|
|
シングル・サインオン
|
ネットワーク、アプリケーションおよびWebサイトにログオンするための1つのパスワードを提供します。
|
|
オーセンティケータの選択肢
|
WindowsまたはLDAPディレクトリ・サーバーのログオンを使用して認証を行います。Logon Managerは、主要な認証として、スマート・カードのような厳密なオーセンティケータを採用しています。
|
|
可動性のサポート
|
ユーザーは、任意のワークステーションからログオンでき、ディレクトリ・サーバー、データベース・システム、ファイル・システムおよびWindowsのローミング・プロファイルを経由して、自分のLogon Manager資格証明を使用できます(Logon Managerユーザーは、スマート・カードを使用してログオンできます)。
|
|
ワークステーションの共有
|
Kiosk Managerを使用して、複数のユーザーが同じワークステーションを安全に共有できます。
|
|
パスワードの自動変更
|
ユーザーが自分の新しいパスワードを選択するか、またはエージェントが承認済のパスワード・ルール(パスワード・ポリシー)を使用して自動的にパスワードを選択することができます。
|
|
厳密認証
|
ソフト・トークンをベースにした2つの要素による認証によって、不当なアクセスから保護されます。
|
|
イベント・ロギング
|
ログオンやパスワード変更などのイベントを自動的にログに記録します。
|
|
自動プロンプト
|
パスワードで保護された新しいアプリケーションをユーザーが使用しようとした場合に、ログオンを構成するように自動的に求めます。
|
|
資格証明の共有
|
複数のアプリケーションが同じ資格証明を共有できます。
|
|
集中管理
|
すべての構成および設定は、Oracle Enterprise Single Sign-On Administrative Consoleを経由して集中管理できます。
|
|
自動バックアップ/リストア
|
ディレクトリ・サーバー、リレーショナル・データベース、ファイル・システムなどのリモートの場所に、ユーザー資格証明を自動的にバックアップし、システムがクラッシュした後、ユーザー資格証明を自動的にリストアします。
|
|
ログオンのユーザー構成
|
管理者によって事前定義されたログオン以外に、ユーザーは、他のアプリケーションおよびWebサイトに対して必要となる個別ログオンを追加できます。
|
|
カスタマイズ
|
ユーザー設定など、ユーザーの操作環境の多くの側面をカスタマイズして、組織のセキュリティ要件およびユーザー集団の高度な技術に製品を適応させることができます。
|
|
セキュアなアーキテクチャ
|
エージェントは非常にセキュアに設計されているため、管理者はパスワードの漏洩を回避できます。また、最新の暗号化アルゴリズムが呼び出され、改ざん耐性モジュールが使用されます。
|
Logon Managerのデプロイ前の考慮事項
ここでは、Logon Managerのデプロイメントおよび管理に関する重要な概念および考慮事項について説明します。
|
ユーザー作業モード
|
様々な構成で作業するエージェント側のサポート・ユーザーを設定する様々な方法、および各シナリオで構成を最適化する方法についての理解
|
|
構成
|
様々な構成で作業するサーバー側のサポート・ユーザーを設定する様々な方法、および各シナリオで構成を最適化する方法についての理解
|
|
ロールアウト
|
Logon Managerを組織にロールアウトするときのプロセスおよび問題についての理解
|
|
管理
|
Logon Managerのデプロイに関するロールアウト後の問題についての理解
|
ユーザー作業モード
ユーザーは、次のような様々な作業モードでコンピュータにアクセスします。
・ 複数のユーザーが常に特定のワークステーションを使用し、単一のユーザーである場合
・ 複数のユーザーが、制限された数のワークステーション間を頻繁に移動する場合(ある部門の看護師など)、または1日または数時間ごとに別のワークステーションに移動する場合(コール・センターなど)
・ 複数のユーザーが(シフトなどで)単一のワークステーションを共有する場合。このようなワークステーションは、スマート・カードなどのトークンを使用してログオンする複数のユーザーによってkioskとして使用されます。
・ ユーザーが常時ネットワークに接続していない場合
Logon Managerでは、前述のすべてのシナリオがサポートされ、ユーザーの最も一般的なシナリオ用に最適化できます。 (デフォルトでは、ユーザーは常に特定のワークステーションを使用しますが、他のユーザーと共有しています。)
1台のワークステーションに1人のユーザー
ユーザーが常に特定のワークステーションを使用する場合は、SSOシンクロナイザ拡張を使用して、そのユーザーの資格証明をリモートの場所にバックアップできます。詳細は、「同期」を参照してください。
また、バックアップ/リストア機能モジュールでは、リモート・リポジトリを使用しなくてもワークステーションに資格証明を保存できます。バックアップ/リストア・モジュールは、デフォルトではインストールされていません。ユーザーが手動でバックアップを実行するか、またはバックアップを自動化できます。詳細は、「ファイルベースのバックアップ/リストア」を参照してください。
少数のワークステーション間で頻繁に移動
ユーザーが少数のワークステーション間を頻繁に移動する場合でも、それらの少数のワークステーションが常に使用されている場合は、Logon Manager資格証明をサポートする基本的なオプションが 2つあります。
推奨するオプションは、リモートSSOリポジトリを使用する方法です。 エージェントの起動および資格証明の変更のいずれを実行しても、すべてのレコードに対してレコード・レベルの比較(同期)が強制的に実行され、その結果、常にユーザーはできるかぎり最新の資格証明を持つことになります。
もう1つのオプションは、ネットワーク・ファイル共有への自動バックアップ を構成する方法です。適切に構成すると、エージェントでは、資格証明が変更されるたびに(リフレッシュ・タスク)、リモート・ストア(ネットワーク・ドライブ)へのサイレント・バックアップが実行されます。最初にエージェントが起動すると、リモート・ストアがローカル・ストアより新しいかどうかが確認され、新しい場合は、サイレント・リストアが実行されます。いずれの場合も、ユーザーは現行の資格証明を保持します。 これは、(レコード・レベルではなく)ファイル・レベルの比較であるため、ユーザーが同時に2台以上のコンピュータにログオンする場合、このオプションは安全ではありません。
多数のワークステーション間で頻繁に移動
ユーザーが多数のワークステーション間で頻繁に移動する場合は、資格証明をサポートする基本的なオプションが2つあります。
推奨するオプションは、リモートSSO同期リポジトリを使用する方法です。 エージェントの起動および資格証明の変更のいずれを実行しても、すべてのレコードに対してレコード・レベルの比較(同期)が強制的に実行され、その結果、常にユーザーはできるかぎり最新の資格証明を持つことになります。また、セキュリティを強化し、使用ディスク領域を削減するには、「Delete Local Cache (on Shutdown)」オプションを有効にします。
または、Windows環境がすでにWindowsローミング・プロファイルを使用して設定されている場合、ユーザー・データは%AppData%ファイル・ディレクトリに追加されるため、自動的にユーザーが使用可能になります。 ただし、Windowsローミング・プロファイルには非常に帯域幅を消費するという特徴があるため、SSO資格証明とともに使用することはお薦めしません。
1台のワークステーションに多数のユーザー
単一のワークステーション(Kioskなど)に、多数のユーザーがアクセスする場合があります。Kioskにログオンするには、スマート・カード(またはその他のトークン)およびPINを使用できます(Authentication Managerのみ)。これらのユーザーがリモートSSOリポジトリにアクセスできるようには、ssoSCDetectユーティリティを使用すると、スマート・カードをリーダーに挿入するたびに、Logon Manager Agentが起動し、プライマリ・ログオンを要求できます。スマート・カードを取り外すと、ユーザーは自動的にエージェントからログアウトされます。詳細は、「ssoSCDetect (スマート・カード監視ユーティリティ)」を参照してください。
切断
ユーザーがラップトップを使用しているか、またはリモートの場所にいる場合は、長時間ネットワークから切断されたままでいることがよくあります。
Logon Manager Agentでは、資格証明はローカルに保存され、ネットワーク接続を使用できないモバイル・ユーザーから完全に独立しています。ユーザー資格証明および設定の格納やイベント・ロギングなどのLogon Managerモジュールでは、不定期の再接続がサポートされているため、信頼性が保証されます。
ファイルベースのバックアップ/リストアでは、ユーザーは自分自身のデータをフロッピーやZipドライブに保存できます。
Logon Managerシンクロナイザ拡張は、「Disconnected Operation」を含む同期オプションを使用するオフライン・ユーザー用に構成されます(可動性の制御の設定に関する項を参照)。
操作性とセキュリティ
セキュリティ: ロックダウンとユーザーの自由
組織のポリシーに適したセキュリティのリスク/信頼レベルのバランスをとるように、Logon Managerをカスタマイズできます。 たとえば、ユーザーが特定の処置を実行する必要がある組織もあれば、それほどセキュリティを意識していない組織もあります。セキュリティ推奨の詳細は、Oracle Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイドラインを参照してください。
操作性: ユーザーの柔軟性と簡易性
組織のポリシーに適した操作性とユーザーのスキル・レベルのバランスをとるように、Logon Managerをカスタマイズできます。たとえば、最も簡単なユーザー・インタフェース以外は使用できないユーザーが多数の組織もあれば、より経験のあるユーザーを雇い、その環境で柔軟性を確保しようとする組織もあります。
その他の設定
Logon Managerは多数の方法でカスタマイズでき、ユーザー、コンピュータまたはグループのレベルでこれらの設定を強制的に実行できます。 (グループ・レベルには、企業全体が含まれる場合があります。)詳細は、「グローバル・エージェント設定」を参照してください。.
可動性の構成
ある組織では、非常に集中管理できる方法(たとえば、1つの親オブジェクトの下にすべてのユーザー・データ・ストア・オブジェクト)でSSOリポジトリ・コンポーネント(ディレクトリ・サーバー、リレーショナル・データベース、ファイル・システム共有)を構成します。他の組織では、分散構造(たとえば、部門、場所、従業員のレベルごとに1つの親オブジェクト)を使用します。いずれの組織にも、現在および将来のネットワーク・トポロジによって異なる長所と短所があります。 一般的な長所と短所は、次のとおりです。
|
集中管理
|
|
長所
|
短所
|
|
・ グローバルに構成しやすい
・ 管理しやすい
|
・ ロード・バランスが難しい
・ ユーザーの母集団が分散され、ユーザー・データがローカルでレプリケートされない場合(たとえば、New Yorkのサーバー上のデータを東京から検索する場合)は、帯域幅を多く消費する
|
|
分散
|
|
長所
|
短所
|
|
・ 詳細に設定できる(ユーザーごとのセキュリティなど)
・ リソースを簡単に再割当てできる(たとえば、ユーザーが別のサーバーの近くに移動したときに、ユーザー・データ・オブジェクトも移動し、いくつかのサーバーにデータを分割する)
|
・ 管理が難しい
・ 1つのデータ・セットで間違いをしやすく、その不一致に気付きにくい
|
初回使用時のシナリオ
ユーザーの初回使用時のシナリオは、Logon Managerリポジトリから制御できます。 初回使用時のシナリオを決定してから、Logon Managerリポジトリにオブジェクトをプッシュします。 集中管理される環境を使用している場合に必要なオブジェクトは1つのみですが、分散環境を使用している場合は、各グループの要件を満たすように、初回使用時のシナリオの構成をカスタマイズできます。詳細は、「初回使用(バルク追加)」を参照してください。
システム構成
Logon Manager構成設定は、Logon Managerリポジトリから設定できます。オーバーライド設定を決定してから、Logon Managerリポジトリのオブジェクトにプッシュします。集中管理される環境を使用している場合に必要なオブジェクトは1つのみであるため、理想的なトップ・ダウン方式でセキュリティを制御でき、分散環境を使用している場合は、各グループの要件を満たすように、設定をカスタマイズできます。
アプリケーション構成
アプリケーション構成は、Logon Managerリポジトリから設定できます。アプリケーション構成を決定してから、Logon Managerリポジトリにオブジェクトをプッシュします。集中管理される環境を使用している場合に必要なオブジェクトは1つのみで、分散環境を使用している場合は、各グループの要件を満たすように、サポートされるアプリケーションのリストをカスタマイズできます。詳細は、アプリケーション・テンプレートの構成に関する説明を参照してください。
ソフトウェアのロールアウト
基本
基本機能にアクセスすると、Logon Managerに自分自身を認識させることができ、つまり、コンピュータにログオンすると、エージェントによってその他すべてのアプリケーションにもログオンされます。
この例を参照するには、いくつかの事前定義されたアプリケーション(OutlookやLotus Notesなど)およびWebサイト(Yahoo!やGoogleなど)に応答するエージェントを監視します。標準構成でLogon Managerをインストールしてから、これらのアプリケーションを起動します。
アプリケーションの構成
いくつかの事前定義されたアプリケーションおよび一般的なWebサイトにエージェントが応答するのを確認した後、パスワードで保護されたほぼすべてのアプリケーションを検出し、それに応答するように、エージェントを簡単に構成できます。
管理
はじめてデプロイした後は、更新およびアップグレードのためにLogon Managerモジュールのデプロイメントを引き続き管理でき、これには、Oracle Enterprise Single Sign-On Administrative Consoleまたは現行のユーザー独自のデプロイメント方法を使用します。
|
Logon Manager構成
|
|
ディレクトリ・サーバーおよびデータベース・システム
|
Oracle Enterprise Single Sign-On Administrative Consoleを使用して、SSOAdminOverrideオブジェクトを変更します。
|
|
ファイル・システム
|
現行のファイル・システム管理ツールまたはOracle Enterprise Single Sign-On Administrative Consoleを使用して、オーバーライド設定を変更します。
|
|
ローカル
|
ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、HKLMハイブを変更します。
|
|
アプリケーション構成
|
|
ディレクトリ・サーバーおよびデータベース・システム
|
Oracle Enterprise Single Sign-On Administrative Consoleを使用して、SSOentlistおよび(オプションで) SSOftulistオブジェクトを変更します。
|
|
ファイル・システム
|
Oracle Enterprise Single Sign-On Administrative Consoleを使用して、entlistおよび(オプションで) ftulistファイルを変更します。
|
|
ローカル
|
Oracle Enterprise Single Sign-On Administrative Consoleを使用して、entlist.iniおよび(オプションで) ftulist.iniファイルを変更します。
|
|
設定
|
|
ロールアウト後の設定変更
|
Oracle Enterprise Single Sign-On Administrative Consoleを使用して、オーバーライド設定をLogon Manager同期リポジトリ(ディレクトリ・サーバー、データベース、ファイル・システムなど)にプッシュします。
ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、レジストリの変更を配置します。
|
|
ユーザー・データ
|
|
ディレクトリ・サーバー
|
現行のディレクトリ管理ツールを使用して、ユーザー・オブジェクトを移動し、(必要に応じて)ユーザーのSSOLocatorを変更または追加します。
|
|
ファイル・システム
|
現行のネットワーク管理ツール(またはWindowsエクスプローラ)を使用して、ユーザー・ファイルのディレクトリ・ツリーを移動し、(必要に応じて)ユーザー・ファイルの保存場所を変更します。
|
|
ローカル
|
ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、ユーザー・ファイルの保存場所を変更します。
|
|
ユーザー資格証明の管理
|
|
ローカル
|
ユーザー資格証明の削除
ドメイン管理ツール、デプロイメント・ツール、Windowsエクスプローラなどを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの%AppData%\SSOディレクトリから、%AppData%\Passlogixファイルを削除します。
|
|
ディレクトリ・サーバー
|
ユーザー資格証明の削除
現行のディレクトリ管理ツールを使用して、ディレクトリからユーザー・オブジェクトを削除し、Windows管理アクセスを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの%AppData%\SSOファイル・ディレクトリから%AppData%\Passlogixファイルを削除することによって、ユーザー資格証明を削除します。
ユーザー・オブジェクトの移動
現行のディレクトリ管理ツールを使用し、ユーザー・オブジェクトを移動し、(必要に応じて)ユーザーのSSOLocatorを変更または追加します。
|
|
ファイル・システム
|
ユーザー資格証明の削除
現行のネットワーク管理ツールまたは Windowsエクスプローラを使用して、ファイル・システムからユーザー・ファイルを削除し、Windows管理アクセスを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの %AppData%\Passlogixファイル・ディレクトリ・ツリーから%UserName% AML.mdbファイルを削除することによって、ユーザー資格証明を削除します。
|
Logon Manager用のサーバーの構成
次の項では、Logon Managerデプロイメント用のサーバーおよび同期とイベント・ロギングのサポートを構成する方法について説明します。
・ ディレクトリ・サーバーの構成: 次のLDAPサービス用
o Oracle Internet Directory。
o Oracle Directory Server Enterprise Edition。
o Oracle Unified Directory。
o Oracle Virtual Directory。
o IBM Tivoli Directory Server。
o Microsoft Active DirectoryおよびAD LDS (ADAM)。
o Novell eDirectory。
o Open LDAP Directory Server。
o Siemens Dirx。
・ データベース・システムの構成: Oracle、Microsoft SQL ServerおよびIBM DB2データベース・システム用
・ ファイル・システムの構成: UNC (Universal Naming Convention)に準拠したネットワーク・ドライブまたはデバイス用
・ イベント・ロギング: Logon Managerイベント・ロギング・メッセージを受信するようにMicrosoft Windows Serverを構成。
・ Syslogイベント・ロギング: エージェントの特別な構成は必要ありません。
LDAPディレクトリ・サーバーの構成
ここでは、Logon Managerと連携して動作するようにLDAPディレクトリ・サーバーを拡張する方法について説明します。このプロセスによって、一部のディレクトリ関連のタスクが容易になりますが、管理者がディレクトリ・サービスの計画やデプロイメントに関する知識を持っていることが前提となります。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。
Logon Managerによるディレクトリ・サーバー・リソースの使用方法の詳細は、「ディレクトリ・サーバー同期サポート」を参照してください。また、このリリースのOracle Technical Networkサイトで、LDAP DirectoryでのLogon Managerのデプロイに関する説明、Microsoft Active DirectoryでのLogon Managerのデプロイに関する説明およびMicrosoft AD LDS (ADAM)でのLogon Managerのデプロイに関する説明も参照してください。
Logon Manager用にディレクトリ・サーバーを構成するには、Oracle Enterprise Single Sign-On Administrative Consoleを使用してスキーマを拡張し、ディレクトリ構造にオブジェクトを設定する必要があります。
ディレクトリ・サーバーに接続するときに、管理者権限が付与された認証情報を入力する必要があります。この情報には、ディレクトリ・タイプ、サーバー名またはIPアドレス(IPアドレスはMicrosoft Active Directoryサーバーにとっては有効でない場合もあります)、ポート、SSL使用の選択、ユーザーIDおよびパスワードが含まれます。
ユーザーIDは、DN形式で指定する必要があります。次に例を示します。
uid=yourname,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot
|
|
AD LDS (ADAM)リポジトリの場合:
次の手順を開始する前に、AD LDS (ADAM)サーバー・インスタンスをインストールして実行しておく必要があります。
アプリケーション・ディレクトリ・パーティション(次の手順2)のネーミング・コンテキストは、組織単位(ou)である必要があります。「AD LDS (ADAM) Setup Wizard」パネルで指定される例は、cn (コンテナ名)を示しています。
|
1. ディレクトリ・スキーマを拡張します。
|
|
スキーマを拡張する前後にディレクトリのバックアップを実行することをお薦めします。ただし、スキーマを拡張するためにユーザーの接続を切断したり、スキーマの拡張後にサーバーを再起動する必要はありません。
|
2. 「Repository」メニューから、「Extend Schema」を選択します。
3. 「Connect to Repository」ダイアログ・ボックスで必要な接続情報を入力または選択し、「OK」をクリックします。Oracle Enterprise Single Sign-On Administrative Consoleによって、リポジトリへのバインド、属性およびオブジェクト・クラスの追加、正常に完了したサーバー構成の確認が行われます。
4. 追加の各サーバーに対して繰り返します。
5. コンテナ・オブジェクトを作成します。
コンテナ・オブジェクト(通常は、SSOConfig (organizationUnitクラス)という名前)には、オーバーライド設定および Peopleという名前のコンテナ・オブジェクトが保持されます。Peopleコンテナ・オブジェクト(organizationUnitクラス)には、各ユーザーのコンテナ・オブジェクト(SSOUserDataクラス)が含まれ、これらの各ユーザー・コンテナ・オブジェクトには、ユーザー資格証明および設定(SSOSecretクラス)が保持されます。
|
|
Oracle Enterprise Single Sign-On Administrative Consoleは、適切なセキュリティを備えたコンテナ・オブジェクトを作成し、適切なセキュリティを備えたPeopleコンテナ・オブジェクトを作成し、Peopleコンテナ・オブジェクトに適切なセキュリティを備えたオーバーライド設定を配置する場合に使用します。
|
6. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
7. 必要な接続情報を入力または選択し、「OK」をクリックします。
8. 右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
9. 必要に応じて、新しいコンテナ・オブジェクトを作成します。
a. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
b. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
c. コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が存在するオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します。
d. オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
o Administrative Console
o データ・ファイル
10. 構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
11. 追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。
12. ロケータ・オブジェクトを作成します。
a. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
b. 必要な接続情報を入力または選択し、「OK」をクリックします。
c. 右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
d. 必要に応じて、新しいコンテナ・オブジェクトを作成します。
i. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
ii. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
e. 右側のペインで、ロケータを追加するコンテナにナビゲートします。
f. コンテナを右クリックして、ショートカット・メニューから「Add Locator Object」を選択します。
g. ロケータ名を指定します(ユーザーごとに固有のロケータが1つずつ存在しない場合は、すべてのユーザーにデフォルトを入力します)。
h. ターゲットのPeopleコンテナ・オブジェクトの親コンテナ・オブジェクトにナビゲートして(またはそのパスを指定して)、「OK」をクリックします。新しく作成されたSSOLocatorオブジェクトが、指定した名前で表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
i. 追加の各SSOLocatorオブジェクトに対して繰り返します。
|
|
「ディレクトリ構造」に示すとおり、Logon Managerがディレクトリ・サーバーに接続すると、エージェントがユーザー資格証明を保存できる場所を指すSSOLocatorオブジェクトが検索されます。Defaultという名前のオブジェクトが、ツリーのいずれかの場所に存在する必要があります。必要に応じて、特定のユーザーに固有の SSOLocatorClassオブジェクトを作成できます。
|
ファイル・システムの構成
ここでは、Logon Managerと連携して動作するようにファイル・システムを拡張する方法について説明します。このプロセスによって、一部のタスクが容易になりますが、管理者がファイル・システム共有の計画やデプロイメントに関する知識を持っていることが前提となります。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。
Logon Manager用にファイル・システム共有を構成するには、Oracle Enterprise Single Sign-On Administrative Consoleを使用して、ディレクトリ構造にオブジェクトを設定する必要があります。
|
|
ファイル・システムに接続するときに、管理者権限が付与された認証情報を入力する必要があります。この情報には、シンクロナイザ拡張タイプ、UNCパス、ユーザーIDおよびパスワードが含まれます。
ユーザーIDは、ドメイン名の形式で指定する必要があり、たとえば、yourdomain\yournameです。
|
コンテナ・オブジェクトの作成
通常、コンテナ・オブジェクトは、UNC形式のファイル・システム共有です。次に例を示します。
\\Server\Share
または、パスで共有を示すこともできます。次に例を示します。
\\Server\Share\Path\subPath
コンテナ・オブジェクトには、オーバーライド設定およびPeopleという名前のコンテナ・オブジェクトが保持されます。
・ Peopleコンテナ・オブジェクトは、各ユーザー用のコンテナ・オブジェクトが含まれるファイル・フォルダです(権限: User=Full、Server\Administrators=Full)。
・ これらの各ユーザー・コンテナ・オブジェクトには、SSOUserDataという名前のコンテナ・オブジェクトが保持されます。
・ 各SSOUserDataコンテナ・オブジェクトには、SSOSecretDataオブジェクト(ファイル)のユーザー設定および各アプリケーション資格証明用のコンテナ・オブジェクトが保持されます。
・ これらの各コンテナ・オブジェクトには、1つのアプリケーション用のユーザー資格証明(SSOSecretDataという名前のファイル)が含まれます。
Oracle Enterprise Single Sign-On Administrative Consoleは、適切なセキュリティを備えたコンテナ・オブジェクトを作成し、適切なセキュリティを備えたPeopleコンテナ・オブジェクトを作成し、Peopleコンテナ・オブジェクトに適切なセキュリティを備えたオーバーライド設定を配置する場合に使用します。
1. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
2. 必要な接続情報を入力または選択し、「OK」をクリックします。
3. 右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
4. 必要に応じて、新しいコンテナ・オブジェクトを作成します。
a. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
b. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
5. コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が存在するオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します。
6. オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
・ Administrative Console
・ データ・ファイル
7. 構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
8. 追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。
データベースの同期の構成
ここでは、Logon Managerと連携して動作するようにリレーショナル・データベース・サーバーを構成する方法について説明します。リレーショナル・データベースの管理と操作に関する基本知識があることを前提としています。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。
データベース同期用にLogon Managerを構成するには、Oracle Enterprise Single Sign-On Administrative Consoleを使用してデータベース・スキーマを拡張し、コンテナ・オブジェクトを作成する必要があります。
1. データベース・スキーマを拡張します。
|
|
スキーマを拡張する前後にデータベースのバックアップを実行します。
|
a. 「Repository」メニューから「Extend Schema」を選択します。
b. 「Connect to Repository」ダイアログ・ボックスで必要な接続情報を入力または選択し、「OK」をクリックします。Oracle Enterprise Single Sign-On Administrative Consoleをデータベース・サーバーに接続するには、管理者レベルの認証が必要です。Oracle Enterprise Single Sign-On Administrative Consoleによって、データベースへの接続、必要なオブジェクトの作成、正常に完了した構成の確認が行われます。
|
|
SQL Serverでは、スキーマの拡張時にデータベースが存在しない場合は、スキーマの拡張機能によってデータベースが作成されます。IBM DB2の設定手順については、ここをクリックしてください。
|
2. 追加の各サーバーに対して繰り返します。
3. コンテナ・オブジェクトを作成します。
コンテナ・オブジェクト(通常は、SSOConfigという名前)には、オーバーライド設定のデフォルト設定およびPeopleという名前のコンテナ・オブジェクトが保持されます。Peopleコンテナ・オブジェクトには、各ユーザーのコンテナ・オブジェクトが含まれ、これらの各ユーザー・コンテナ・オブジェクトには、ユーザー資格証明および設定が保持されます。
Oracle Enterprise Single Sign-On Administrative Consoleは、コンテナ・オブジェクトを作成し、Peopleコンテナ・オブジェクトを作成し、Peopleコンテナ・オブジェクトに適切なセキュリティを備えたオーバーライド設定を配置する場合に使用します。
1. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
2. 必要な接続情報を入力または選択し、「OK」をクリックします。
3. 右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
4. 必要に応じて、新しいコンテナ・オブジェクトを作成します。
a. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
b. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
5. コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が存在するオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します。
6. オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
・ データ・ファイル
・ Administrative Console
7. 構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
8. 追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。
IBM DB2の構成
Logon Managerの中央リポジトリ・スキーマを拡張し、中央リポジトリとしてIBM DB2を準備するには、この項の手順に従います。
IBM DB2の設定要件:
・ ローカル・マシンでIBM DB2クライアントをインストールする必要があります。
・ DB2クライアントには、OLE DB (Object Linking and Embedding Database)サポートがインストールされ、構成されている必要があります。このサポートは、様々なデータ・ソースに格納されているデータにアプリケーションが一様にアクセスできるようにする一連のインタフェースを提供します。OLE DBサポートをインストールするには、DB2設定ウィザードを実行して、「Client support」→「Interfaces」→「OLE DB Support」にナビゲートします。詳細は、DB2のドキュメントを参照してください。
・ スキーマを拡張するユーザーとして現在(Windowsに)ログイン中のユーザーには、リポジトリに接続し、スキーマを拡張するために、データベースに対する適切な権限が必要です。DB2ユーザー・アカウントには、データベース管理者権限が必要です。
・ DB2管理者は、vGOSSOというデータベースを作成する必要があります。
・ これらの手順の詳細は、IBM DB2のドキュメントを参照してください。
データベース・スキーマの拡張
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. 「Repository」メニューから、「Extend Schema」を選択します。
3. 「Connect to Repository」メニューから、必要なIBM DB2接続情報を入力または選択します。
・ Server name: サーバー名を入力します。
・ Repository Type: DB2データベースを選択します。
・ Port: デフォルトのポート(通常、50000)でない場合は、ポート番号のみを入力する必要があります。ポートがデフォルトである場合、このフィールドは空白のままでかまいません。
4. 「OK」をクリックします。
|
|
Oracle Enterprise Single Sign-On Administrative Consoleをデータベース・サーバーに接続するには、管理者レベルの認証が必要です。Oracle Enterprise Single Sign-On Administrative Consoleによって、データベースへの接続、必要なオブジェクトの作成、正常に完了した構成の確認が行われます。
|
|
|
スキーマの拡張機能は、次のSQLコマンドを使用して、スキーマを拡張します。
CREATE SCHEMA vGOSSO;
CREATE TABLE vGOSSO.SSO_ADMIN (ConfigType VARCHAR(128) NOT NULL, Data CLOB, PRIMARY KEY(ConfigType));
CREATE TABLE vGOSSO.SSO_USERS (UserID VARCHAR(128) NOT NULL, ObjectID VARCHAR(255) NOT NULL, Data CLOB, PRIMARY KEY (UserID, ObjectID));
|
5. スキーマを拡張したら、DB2データベース内のSSO_USERS表とその索引に対する完全な権限と、SSO_ADMIN表とその索引に対する読取り専用の権限を付与する必要があります。
リポジトリへの公開
1. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
2. 必要な接続情報を入力または選択し、「OK」をクリックします。
3. 右側のペインで、ルート(サーバー名)にナビゲートします。
4. ルートで右クリックして、ショートカット・メニューから「Publish to Repository」を選択します。ルートの下には「People」コンテナ・オブジェクトがすでに存在します。
5. 管理オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
・ Administrative Console。 このウィザード・ページは、現在のOracle Enterprise Single Sign-On Administrative Console設定をソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。
・ Data File。 このウィザード・ページは、1つ以上のデータファイルをソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。
6. 構成手順を実行すると、オーバーライド設定のエントリが「Repository」ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
IBM DB2データベースに接続するために必要な設定
「Required Database Synchronization」設定は、すべてのデータベース・シンクロナイザ拡張に対して設定する必要があります。
シンクロナイザを追加して、IBM DB2用に構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを開いて、グローバル・エージェント設定セットを選択します。
2. 「Synchronization」→「DBEXT」→「Required」を展開します。
3. 次の情報を入力します。
・ Extension location: これが選択されていることを確認します。これは、IBM DB2データベース・シンクロナイザ拡張のパス\ファイル名です。
デフォルト: C:\Program Files\LocalDirectory\v-GO SSO\Plugin\SyncMgr\ DBEXT\DBExt.dll)
・ Servers: 接続して同期させるために、データベース・サーバーの接続文字列を指定します。チェック・ボックスを選択し、「...」をクリックして「Edit List」ダイアログ・ボックスを開きます。各行に1台のデータベース・サーバーの完全接続文字列を入力します。[Enter]を押して各行を終了します。他のデリミタ文字を使用しないでください。
|
|
この拡張が機能するには、少なくとも1つの接続文字列を指定する必要があります。
IBM DB2データベースに接続するには、次の接続文字列を使用します。
Provider=IBMDADB2;Data Source=vGOSSO;CurrentSchema=vGOSSO;Location= <DB2ServerName>[:port];Extended Properties="trusted_connection=yes"。<DB2ServerName>はサーバーの名前、[:port]はオプションのポートです。
|
4. 「Synchronization」→「DBEXT」の順に開きます。「Advanced Database Synchronization」設定では、すべてのデータベース・シンクロナイザ拡張を対象とした拡張オプションを制御します。この設定は必須ではありません。
リポジトリの設定
同期リポジトリへの接続を表示および確立するには、次の手順を実行します。
・ 左側のペインで「Repository」をクリックして、現在のLogon Managerの同期リポジトリを表示します。
または、どの接続もアクティブでない場合は、次の操作を実行します。
・ 左側のペインで「Repository」を右クリックして、ショートカット・メニューから「Connect to…」を選択します。
リポジトリに関するアクションおよびオプション
右側のペインの「Repository」ウィンドウでオブジェクトを右クリックすると、コマンドおよびオプションが含まれるショートカット・メニューが表示されます。
コンテナを選択した場合
|
Publish SSO Objects Here
|
「Publish to Repository」ダイアログ・ボックスを開き、ここで、アプリケーション・テンプレートやリポジトリに対するエージェント設定オーバーライドなどの構成オブジェクトを公開します。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
Bring Multiple Objects to Console
|
現在のOracle Enterprise Single Sign-On Administrative Console設定にインポートする複数の構成オブジェクトを選択可能なリストを表示します。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
Add Locator Object
|
ロケータ・オブジェクトを作成します(ディレクトリ・サーバーのみ)。
|
|
Create People Container
|
Microsoft Active Directory以外のディレクトリ・システム上でアプリケーションの資格証明記憶域に使用されるou=Peopleコンテナを作成します。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
New Container
|
選択したコンテナ内に新しいコンテナを作成します。
|
|
Delete
|
コンテナおよびその中のすべてのオブジェクトを削除します。
|
|
Refresh
|
ディレクトリのウィンドウを更新します。
|
|
Filter Subnodes…
|
「Subnodes Filtering Options」ダイアログ・ボックスを開き、ここでは、Oracle Enterprise Single Sign-On Administrative Consoleがリポジトリのサブノードの表示に使用する基準を調整します。
|
オーバーライド・オブジェクトを選択した場合
|
Configure
|
Oracle Enterprise Single Sign-On Administrative Console設定またはデータファイルから管理オーバーライド・オブジェクトを作成します。
|
|
View
|
選択したオブジェクトを素早く表示し、そのオブジェクトをINIファイルに保存するためのオプションも示します。
|
|
Bring to Console
|
現在のOracle Enterprise Single Sign-On Administrative Console設定にオブジェクトをインポートします。
・ インポートしたファイルに現在の構成と同じ名前の項目(アプリケーション、ポリシー、グループ)が含まれている場合は、「Import/Merge Conflict」ダイアログ・ボックスが表示されます。
・ インポートしたファイルに現在の構成の既存セットと同じ名前のグローバル・エージェント設定セットが含まれている場合は、インポートしたセットに「既存の設定のコピー」という名前が付与されます。
|
|
Save as File
|
ローカルのINIファイルにオブジェクトを保存します。
|
|
Delete
|
オブジェクトをリポジトリから削除します。
|
Add User or Group (Active Directoryロール/グループのサポート用)
このダイアログ・ボックスは、現在の構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定またはパスフレーズ・セット)のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合に使用します。
コントロール
|
List Names From
|
Active Directoryのドメインまたはサーバーを選択します。
|
|
Names
|
選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
|
|
Add
|
「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。
|
|
Members
|
「Names」でグループを選択した場合は、「Global Group Membership」ダイアログ・ボックスが表示され、このダイアログ・ボックスには、選択したグループのメンバーが表示されます。
|
|
Search
|
特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログ・ボックスが表示されます。
|
|
Add Names
|
すでに選択したユーザーまたはグループの名前を表示します。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。
|
|
このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。
|
|
Global Group Membership (ADロール/グループ・サポート用)
「Global Group Membership」ダイアログ・ボックスには、「Add User or Group」ダイアログ・ボックスで選択されたグループのメンバーのリストが表示されます。このダイアログ・ボックスは、現在の構成アイテムのアクセス制御リストに追加する個々のメンバーを選択する場合に使用します([Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します)。「Add User or Group」ダイアログ・ボックスで、「Add」をクリックして、選択した名前を「Names」リストにコピーします。
Find Account (アクティブ・ディレクトリ・ロール/グループのサポート用)
「Find Account」ダイアログ・ボックスは、特定のドメイン内または複数のドメイン全体で特定の個々のユーザー・アカウントまたはユーザー・グループを検索し、検索結果の一部または全体を、現在の 構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定またはパスフレーズ・セット)のアクセス制御リストに追加する場合に使用します。
|
名前を検索する
|
|
Find a User or Group
|
検索するユーザーまたはグループの名前を入力します。ユーザー/グループ名の完全一致のみ可能です。
|
|
Search All/Search Only in
|
すべての使用可能なドメイン(下のリスト・ボックスに表示される)を検索するか、検索する特定のドメインを選択します。 [Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。
|
|
Search
|
ユーザー/グループ名の検索を開始します。
|
|
リストに結果を追加する
|
|
Search Results
|
検索基準と一致するユーザー・アカウントおよびグループ・アカウントをリストします。
|
|
Add
|
「Search Results」リストで選択したユーザーおよびグループを「Add User or Group」ダイアログ・ボックスの「Add Names」リストに追加します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。
|
Add Users or Groups (LDAPロール/グループのサポート用)
このダイアログ・ボックスは、現行の構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ・セット)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合に使用します。
コントロール
|
Search Base
|
ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。場所を入力するか、または「Change」をクリックしてディレクトリ・ツリーを参照します。
|
|
Change
|
検索用のベース・ディレクトリを参照するために「Select Search Base」ダイアログ・ボックスが表示されます。
|
|
Search
|
ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
|
|
Users and Groups
|
検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。
|
Select Search Base (LDAPロール/グループのサポート用)
このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了して「Select Users or Groups」ダイアログ・ボックスに戻る場合は、「OK」をクリックします。
リポジトリの参照
このダイアログ・ボックスでは、現在接続しているディレクトリ・サーバーの階層にある、特定のターゲット・リポジトリ・コンテナにナビゲートできます。また、必要に応じて、異なるサーバーに接続することもできます。
ターゲット・リポジトリ・コンテナを選択するには、次の手順を実行します。
1. (オプション) Oracle Enterprise Single Sign-On Administrative Consoleが現在接続しているディレクトリ・サーバーが目的のターゲット・サーバーでない場合は、「Change Server」をクリックして接続情報に入力し、「OK」をクリックして目的のサーバーに接続します。
2. ディレクトリ・ツリーで、ターゲット・コンテナにナビゲートして選択します。
3. 「OK」をクリックします。
この設定は、Logon Managerバージョン11.1.1.1.0から変更されています。
リポジトリへの接続
Oracle Enterprise Single Sign-On Administrative Consoleを同期リポジトリに接続します。
同期リポジトリへの接続
1. 「Repository」を右クリックして、ショートカット・メニューから「Connect to」を選択します。
2. 必要な接続情報を入力または選択し、「OK」をクリックします。
接続コントロール
|
SyncPathまたはServer Name
|
・ 「Repository Type」にディレクトリ・サービスを選択した場合、サーバー名()を入力または選択します。
または
・ 「Repository Type」でデータベースを選択した場合は、インスタンス名(Oracle用)、またはバックスラッシュで区切られたサーバー名とインスタンス名(SQL Server用)を入力または選択します。
または
・ 「Repository Type」にファイル・サービスを選択した場合、同期フォルダへのパスを入力または選択します。
|
|
「Edit List」 を選択して、ドロップダウン・リストからディレクトリ/サーバーを削除します。
SQL Serverの場合、データベース・サーバーが接続先のコンピュータ上の唯一のインスタンスであるときには、コンピュータ名のみを入力します。ターゲット・コンピュータに複数のデータベース・サーバー・インスタンスがある場合は、完全接続アドレス(computerName\dbServerName)を入力します。
ドライブ名およびディレクトリ・パスとしてでなく、UNCパスとしてファイル・システム・サーバーを指定する必要があります。次に例を示します。D:\ShareNameではなく\\ServerName\ShareName
|
|
|
Repository Type
|
ドロップダウン・リストから「File System Sync」、ディレクトリ・サービスまたはデータベース・サーバーを選択します。
「OpenLDAP Directory Server」を選択したときに、Extend Schema Statusエラーが表示された場合は、スキーマを手動で拡張します。
|
|
Port
|
(ディレクトリ・サーバーのみ)ポート番号を入力します。
|
|
Database
|
(データベース・サーバーのみ)接続先のデータベースの名前。既存のデータベースの名前を入力します(デフォルトはvGOSSO)。
|
|
Use secure channel (SSL)
|
Secure Socket Layerを有効にする場合に選択します(ディレクトリ・サーバーのみ)。
|
|
User ID
|
ユーザー名を入力します。
|
|
Password
|
パスワードを入力します。
|
「Repository」ダイアログ・ボックスの表示:
1. 「Repository」を右クリックして、ショートカット・メニューから「Connect to」を選択します。
または
2. 「Repository」メニューから、「Extend Schema」を選択します。
New Container
このプロンプトを使用して、現在のリポジトリの選択したノードで、新しいコンテナ・オブジェクトに名前を付けます。
新しいコンテナに名前を付けるには、次の手順を実行します。
・ コンテナ名を入力してから、「OK」をクリックします。
Edit Server List
このダイアログ・ボックスは、「Connect to Repository」ダイアログ・ボックスの「Server Name」ドロップダウン・ボックスにリストされるサーバーを削除する場合に使用します。
・ サーバーを選択して、「Delete」を選択します。完了したら、「OK」をクリックします。
リポジトリ・リストの編集
Select Objects to Bring to the Oracle Enterprise Single Sign-On Administrative Console
このダイアログ・ボックスには、最近使用されたターゲット・リポジトリのリストが表示され、リストから不要なエントリを削除できます。
リストから不要なエントリを削除するには、次の手順を実行します。
1. リストでエントリを選択します。
2. 「Delete」をクリックします。
3. 不要なリスト・エントリで、手順1から2を繰り返します。
4. 完了したら「OK」をクリックします。
この設定は、Logon Managerバージョン11.1.1.1.0から変更されています。
サブノードのフィルタ・オプション
サブノードのフィルタ・オプションは、リポジトリ・ツリーに表示するアイテムの数を制御します。フィルタを使用すると、より管理可能な結果を表示するよう、Oracle Enterprise Single Sign-On Administrative Consoleがこれらのツリーのサブノードの表示に使用する基準を調節します。
次の2つの方法で表示するサブノードを制限できます。
・ リストをフィルタします。 アスタリスク(*)および疑問符(?)のワイルドカードを使用します。
ワイルドカード・フィルタは、ノード固有です。フィルタする各ノードに異なるワイルドカードを使用できます。ワイルドカード・フィルタは、リポジトリ・ノードを切り替えたときに破棄され、Oracle Enterprise Single Sign-On Administrative Consoleセッションの最後に期限切れになります。
・ リストを切り捨てます。 表示するノードの数を制限します。
ツリーに表示する子ノードの最大数のしきい値を指定します。この数字は、すべてのリポジトリ・ノードを制御し、Oracle Enterprise Single Sign-On Administrative Consoleセッションの間有効です。最小値は1、最大値は65,535で、デフォルトは1,000です。これはつまり、Oracle Enterprise Single Sign-On Administrative Consoleでは、異なった構成をしないかぎり、最大1,000のエントリが表示されるということです。
最小値以下の値または最大値以上の値を入力する場合、Oracle Enterprise Single Sign-On Administrative Consoleでは、制限に近いほうを使用します。
サブノードをフィルタするには、次の手順を実行します。
1. リポジトリに接続します。
2. リポジトリのノードで右クリックして、「Filter Subnodes …」をクリックします。
3. 「Subnodes Filtering Options」ダイアログ・ボックスで、次のいずれかまたは両方を実行します。
・ 「Filter List」フィールドで、ワイルドカード表現を入力します。
・ 「Truncate list」フィールドで、表示するノードの最大数を選択します。指定できる最大数は65,535です。デフォルトは1,000です。
4. 「OK」をクリックします。
5. 結果を表示するサブノードを展開します。
フィルタ済サブノードの使用
フィルタ済のサブノードのアイコンには、標準のアイコンの横に「F」が含まれており、フィルタ済の状態であることを示します。
|
アイコン・タイプ
|
未フィルタの状態
|
フィルタ済の状態
|
|
プログラム
|
|
|
|
サーバー
|
|
|
|
フォルダ
|
|
|
|
ユーザー
|
|
|
「Truncate list」の設定で設定したしきい値を超える数のサブノードを含むノードを展開することを選択する場合、「Subnodes Filtering Options」ダイアログ・ボックスが表示され、次を示します。
警告: 表示されるアイテムの数はXXXX(指定した数)で、次に定義された制限を越えています。
「OK」をクリックし、前に設定した制限を使用してサブノードを開くか、リストに含めるノードの最大数を変更し、「OK」をクリックします。このスケジュールのしきい値を設定していない場合、Oracle Enterprise Single Sign-On Administrative Consoleによってシステム・デフォルトである1,000が使用されます。
この機能は、バージョン11.1.1.5.0における新機能です。
コンソールへの複数オブジェクトのインポート
Select Objects to Bring to the Oracle Enterprise Single Sign-On Administrative Console
このダイアログ・ボックスは、選択したコンテナおよびその子コンテナに格納されているすべてのオブジェクトをフラット・リストで表示します。さらに、現在の「Oracle Enterprise Single Sign-On Administrative Console」設定にインポートする複数のオブジェクトを選択できます。
リストから複数のオブジェクトを選択して、Oracle Enterprise Single Sign-On Administrative Consoleにインポートするには、次の手順を実行します。
・ [Ctrl]を押しながら、目的の各オブジェクトをクリックします。
または
1. [Shift]を押しながら目的の範囲の最初と最後のオブジェクトをクリックします。
2. 「OK」をクリックします。
Publish to Repository
この画面では、選択したターゲット・コンテナに、選択した構成オブジェクトをディレクトリ形式の階層(デフォルト)、またはフラット形式の構成ファイルとして公開できます。
|
|
除外リストを公開するときの考慮事項については、「除外の使用」を参照してください。
|
目的のオブジェクトを選択して、リポジトリに公開するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ ツリーで、公開する構成オブジェクトで右クリックして、「Publish」または「Publish To…」を選択します。
または
・ ツリーから構成オブジェクトを選択して、「Tools」→「Publish to Repository」を選択します。
2. 「Publish to Repository画面の「Available configuration objects」リストで、目的のオブジェクトにナビゲートし、選択します。
|
|
オブジェクトが構成されているカテゴリのみが、このリストに表示されます。たとえば、パスワード生成ポリシーが存在しない場合、対応するカテゴリはこのリストには表示されません。
|
3. >>をクリックして、選択したオブジェクトを公開予定リストの「Selected」オブジェクトに移動します。(このリストからオブジェクトを除去して公開しないようにするには、オブジェクトを選択して、「<<」をクリックします。)
4. (オプション)ターゲット・コンテナで右クリックして「Publish SSO Objects Here」コマンドを起動しなかった場合は、「Target repository」ドロップダウン・リストから目的のコンテナを選択します。
|
|
リストにターゲット・コンテナのパスが表示されない場合、「Browse」をクリックして目的のコンテナを検索して選択します。
このリストから不要なエントリを削除するには、リストで「Edit list」オプションを選択します。
|
5. (オプション)構成オブジェクトをフラット形式で格納する必要がある環境の場合は、個々のオブジェクトとしてでなく、構成ファイルで「Store selected items」チェック・ボックスを選択します。
|
|
ターゲット・コンテナに存在する場合、このオプションを選択することで、既存の構成ファイルに格納されているすべての項目が上書きされます。
|
6. (オプション)はじめて使用するオブジェクト(FTUList)を作成する場合、対応するチェック・ボックスを選択します。
|
|
このオプションは、手順4で構成オブジェクトをフラット形式で格納することを選択した場合にのみアクティブになります。
|
7. 「Publish」をクリックします。Oracle Enterprise Single Sign-On Administrative Consoleは、選択したオブジェクトをターゲット・リポジトリに公開します。
|
|
公開プロセスが完了するまで、ダイアログを終了したり、Oracle Enterprise Single Sign-On Administrative Consoleを閉じないでください。オブジェクトが公開されると、ダイアログは自動的に閉じます。
|
|
|
オブジェクトまたはオブジェクトのグループを即時に公開するには、左側のツリーでオブジェクトを選択し、コンテキスト・メニューから「Publish」(単一のオブジェクトおよびグループ)または「Publish To」(単一のオブジェクトのみ)を選択します。
これにより、「Publish to Repository」ダイアログを起動し、公開されるオブジェクトのリストに、自動的にオブジェクトを追加します。次の点に注意してください。
・ 「Publish」オプションを選択する場合、「Publish to Repository」ダイアログが表示されます。
・ 「Publish To」を選択してリポジトリを選択した場合、選択したオブジェクトはそのリポジトリに自動的に公開されます。「Publish to Repository」ダイアログは表示されません。(選択したリポジトリに現在接続していない場合は、ディレクトリ・サーバーに対する認証が求められます。)
|
この設定は、Logon Managerバージョン11.1.1.1.0から変更されています。
Oracle Enterprise Single Sign-On Administrative Consoleからリポジトリへの公開
このウィンドウは、現在のOracle Enterprise Single Sign-On Administrative Console設定をソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。エクスポートできるのは、次のとおりです。
・ 1つ以上のアプリケーション・ログオン
・ 初回使用(bulk-add)オブジェクト
・ 一連のグローバル・エージェント設定
Oracle Enterprise Single Sign-On Administrative Consoleからの管理オーバーライドのエクスポート
1. 次のいずれかを実行します:
・ 「Send All Applications」を選択します。
または
a. 「Send Some Applications」を選択し、次の操作を実行します。
b. 「Select Apps」をクリックします。
または
a. 「Select Applications」ダイアログ・ボックスで、送信するアプリケーションを選択して、「OK」をクリックします。
b. 「Send No Apps」を選択します。
2. オプションで、「Create First-Time-Use (FTUList) object」を選択します。
3. オプションで、「Admin Overrides」ドロップダウン・リスト・ボックスで一連のグローバル・エージェント設定を選択します。
4. 「Next」を選択します。ウィザードにオーバーライド構成の要約が表示されます。
5. 「Finish」をクリックして、エクスポートを完了します。
「Publish to Repository」ウィンドウの表示
1. Logon Managerリポジトリに接続します。
2. 右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、「Publish to Repository」ウィンドウを開きます。
3. 「Administrative Console」を選択します。
Publishing to the Repository from a Data File
このウィンドウは、1つ以上のデータファイルをソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。エクスポートできるのは、次のとおりです。
・ 1つ以上のアプリケーション・ログオン
・ 初回使用(bulk-add)オブジェクト
・ グローバル・エージェント設定セット (.iniファイルまたは.regファイルから)
データファイルからの管理オーバーライドのエクスポート
1. エクスポートする各管理オーバーライド・オブジェクトのソースとして、ファイル名を入力(または「Browse」を選択してデータファイルを選択)します。エクスポートできるものは次のとおりです。
・ 初回使用(ftulist.iniファイルから)
・ 管理オーバーライド(有効なINIファイルまたはREGファイルから)
・ アプリケーション(entlist.iniファイルから)
2. 「Next」をクリックします。ウィザードにオーバーライド構成の要約が表示されます。
3. 「Finish」をクリックして、エクスポートを完了します。
ウィザード・ページの表示
1. シンクロナイザ・リポジトリに接続します。
2. 右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、「Publish to Repository」ウィンドウを開きます。
3. 「Data File」を選択します。
Logon Managerのサポートの構成
「Publish to Repository」ウィンドウは、ファイル・システム、データベースまたはディレクトリ・サービスのシンクロナイザを使用して、エンド・ユーザーに管理オーバーライドおよびアプリケーション構成をデプロイする場合に使用します。エクスポートできるオブジェクトは、次のとおりです。
・ 1つ以上のアプリケーション・ログオン
・ 初回使用(bulk-add)オブジェクト
・ 一連のグローバル・エージェント設定
「Publish to Repository」ウィンドウを使用すると、現在のOracle Enterprise Single Sign-On Administrative Console設定または1つ以上のデータファイルから、選択したシンクロナイザ・コンテナ・オブジェクトに、オーバーライドを容易にエクスポートできます。
詳細は、「同期」を参照してください。
シンクロナイザ・コンテナへの管理オーバーライドのエクスポート
1. Logon Managerシンクロナイザ・リポジトリに接続します。
2. 右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、ウィンドウを開きます。
3. 管理オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
・ Administrative Console
・ データ・ファイル
リポジトリに公開するアプリケーション、パスワード・ポリシーおよびセッション・リストの選択
「Publish to Repository」ウィンドウを使用して、現在のOracle Enterprise Single Sign-On Administrative Consoleセッションから、アプリケーション・ログオン、パスワード・ポリシーおよびKiosk Managerリストを選択して、現在の同期リポジトリへデプロイします。すべてのアプリケーションとポリシーを選択したり、アプリケーションおよびポリシーを個別に選択したり、どちらか一方のリストから項目を削除できます。選択が完了したら、「Next」を選択して続行します。
|
リスト
|
|
Applications
|
デプロイするアプリケーション・ログオン構成をリストします。
|
|
Password Generation Policies
|
デプロイするパスワード・ポリシーをリストします。
|
|
Kiosk Manager Application List
|
デプロイするKiosk Managerのアプリケーション・リストをリストします。
|
|
コントロール
|
|
Applications
|
デプロイするアプリケーション・ログオン構成をリストします。
|
|
Password Generation Policies
|
デプロイするパスワード・ポリシーをリストします。
|
|
Kiosk Manager Application List
|
デプロイするKiosk Managerのアプリケーション・リストをリストします。
|
リポジトリに公開するグローバル・エージェント設定の選択
「Publish to Repository」ウィンドウを使用して、現在のOracle Enterprise Single Sign-On Administrative Consoleセッションから、グローバル・エージェント設定セットを選択して、現在のLogon Manager同期リポジトリへデプロイします。
1. リストからグローバル・エージェント設定のセットを選択します。
2. 「Next」を選択して続行します。
リポジトリに公開するパスフレーズ質問を含める
「Publish to Repository」ウィンドウを使用して、現在のOracle Enterprise Single Sign-On Administrative Consoleセッションから現在の同期リポジトリにパスフレーズ質問をデプロイします。詳細は、「パスフレーズ質問」を参照してください。
|
Send the Passphrase questions
|
このチェック・ボックスは、パスフレーズ質問の現在のセットをデプロイする場合に選択します。「Next」を選択して続行します。
|
Publish to Repository Summary Page
このページを使用して、構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。構成が完了したら、「Finish」を選択します。
EntList用のアプリケーションの構成
「Configure Applications」ダイアログ・ボックスを使用して、同期用まのEntListオブジェクトに含めるアプリケーション・ログオンを選択します。
1. 次のいずれかを実行します:
・ 「Send All Applications」を選択します。
または
・ 「Send Some Applications」を選択します。
|
|
これらのいずれかのオプションにより、選択したディレクトリのすべてのアプリケーションを上書きします。ディレクトリのアプリケーションを上書きせずに「First-Time-Use」リスト・オブジェクトを作成するには、「Do not send apps」を選択します。
|
2. 「Select Apps」をクリックします。
3. 「Select Applications」ダイアログ・ボックスで、パッケージ化するアプリケーションを選択して、「OK」をクリックします。
4. 必要に応じて、「Create First-Time-Use (FTUList) object」を選択します。
5. 「OK」をクリックします。
EntListオブジェクト用にこのダイアログ・ボックスを表示するには、次の手順を実行します。
・ シンクロナイザ・リポジトリに接続し、Entlistオブジェクトを右クリックして、ショートカット・メニューから「Configure」を選択します。
Add Locator Object
「Add Locator Object」ダイアログ・ボックスは、ロケータを作成する場合に使用します。ロケータとは、エージェントにユーザー資格証明が保存されている(または保存できる)コンテナを示すためのディレクトリ・オブジェクトのことです。すべてのエンド・ユーザー用のデフォルト・ロケータを作成したり、特定のエンド・ユーザー用のロケータを作成できます。
詳細は、ディレクトリ・サーバー: ロケータ・オブジェクトの作成に関する項を参照してください。
コントロール
|
Locator Name
|
デフォルトを入力して、すべてのユーザーにロケータを作成します。特定のエンド・ユーザーのロケータを作成するには、ユーザーの識別名を入力します。
|
|
Forwarding Location
|
ユーザー資格証明が保存されているコンテナにナビゲートして、「OK」をクリックします。
|
|
Store data under the user objects (AD only)
|
(Active Directoryのみ)このチェック・ボックスは、特定のユーザー(「Locator Name」がdefaultの場合はすべてのユーザー)の資格証明を特定の「Forwarding Location」ではなく、各ユーザー・オブジェクトの下のコンテナに保存する場合に選択します。
この設定では、ディレクトリ・スキーマを更新し、ディレクトリ・ルート・セキュリティ設定を変更する必要があります。このためには、「Repository」メニューの「Enable Storing Credentials under User Object」コマンドを使用します。
この設定を使用すると、ユーザーを個別に指定して、そのユーザーの資格証明のみを各ユーザー・オブジェクトの下に保存できます。それ以外のユーザーの資格証明は、デフォルト・ロケータで指定したとおりに保存されます。
ロケータ・オブジェクトを使用しないですべてのユーザーの資格証明を自分のユーザー・オブジェクトの下に保存するには、「Location for storing user credentials」設定(Synchronization\Selected Active Directory sync\Advancedの下)を使用します。
|
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. シンクロナイザ・ディレクトリに接続します。
2. 右側のペインで、ロケータを追加するコンテナを選択します。
3. コンテナを右クリックして、ショートカット・メニューから「Add Locator Object」を選択します。
View Object
このダイアログ・ボックスを使用して、選択した構成オブジェクトの内容を表示します。INI (テキスト)ファイルにオブジェクトを保存するには、「Save To」をクリックします。詳細は、「リポジトリ」を参照してください。
|
|
表示された構成情報を編集できますが、変更はINIファイルに保存されるだけでオブジェクト自体には保存できません。
|
「Usage Report」ダイアログ・ボックス
「Usage Report」は、ユーザーおよびアプリケーションのアクセスの監視、および問題のトラブルシューティングに役立ちます。
このダイアログ・ボックスを使用して、ユーザー、アプリケーション、変更した日付、最後に使用した日付に関する情報が含まれる使用状況レポートを生成します。「Output File」フィールドで、出力ファイルの完全修飾パスを入力するか、「Browse」ボタンを使用してファイル名および場所を指定します。必要に応じて、「Include header row」ボックスを選択し、レポートにヘッダー行を含めます。
同期
シンクロナイザ拡張を使用すると、エンド・ユーザーのローカル・ストア(ワークステーション上)とリモートSSOリポジトリ(ファイル・システム共有、リレーショナル・データベースまたはディレクトリ・サーバー)のストアの間で、資格証明を同期化できます。また、この拡張を使用すると、ローカル・エージェント設定の管理オーバーライド、アプリケーション・ログオン構成(entlist.iniをオーバーライドし、applist.iniとマージされる)およびバルク追加リスト(ftulist.iniをオーバーライドする)をデプロイできます。詳細は、「オーバーライド設定」を参照してください。
シンクロナイザ拡張は、ディレクトリ・サーバー、データベース・サーバー、ファイル・システムおよびその他のストレージ・デバイスと通信します。各タイプの拡張には、独自の構成に関する要件があります。Logon Managerでは、次の拡張がサポートされます。
・ Microsoft Active Directory Server(アプリケーション・モードを含む)。
・ LDAP対応のディレクトリ・サーバー(Oracle Internet Directory、Oracle Directory Server Enterprise Edition、OpenLDAPディレクトリ・サーバー、IBM Tivoli Directory Server、Novell eDirectory)。
・ リレーショナル・データベース(Oracle DB、Microsoft SQL Server、IBM DB2)。
・ ネットワーク・ファイル・システム。
Universal Authentication Managerでは、Microsoft Active Directory Serverをサポートしています。
シンクロナイザ拡張では、次のタスクを実行できます。
・ 宛先のデバイス/リソース/ストアへの接続(またはバインド)。
・ オーバーライド設定の検索(管理オーバーライド設定、アプリケーション構成情報、および初回使用の構成情報)。
・ ローカル・ユーザー・ストア(資格証明)とリモート・ストアとの同期化。
Logon Managerでは、各拡張を複数回使用することができるため、複数の構成をサポートできます。たとえば、LDAPディレクトリ・サーバーおよびファイル・システムのシンクロナイザ拡張がインストールされている場合、エージェントは資格証明をLDAPディレクトリ・サーバーとファイル・システムと同期化し、両方からオーバーライド設定をダウンロードします。この手順の詳細は、「複数のシンクロナイザ拡張」を参照してください。
ディレクトリ・サーバー同期サポート
Oracle Enterprise Single Sign-On Administrative Consoleでは、次のようなLDAPディレクトリ・サーバーがサポートされています。
・ Oracle Internet Directory
・ Oracle Directory Server Enterprise Edition
・ Oracle Unified Directory
・ Oracle Virtual Directory
・ Open LDAP Directory Server
・ IBM Tivoli Directory Server
・ Microsoft Active Directory
・ Microsoft AD LDS (ADAM)
・ Novell eDirectory
・ Siemens Dirx
Logon Managerでは、管理構成、可動性およびバックアップでディレクトリ・サーバー・リソースが使用されます。管理者は、新規のレジストリentlist.iniおよびftulist.ini (バルク追加)の設定、または既存の設定の更新を行うためにオーバーライド構成をデプロイできます。ユーザーは資格証明(バックアップ用)を保存して、複数のコンピュータ間を移動できます(可動性)。Logon Managerがディレクトリ・サーバーに接続すると、特定のディレクトリ構造を使用して、ユーザーの資格証明およびオーバーライド設定が格納されている場所が判断されます。
|
|
各ディレクトリ・サーバーには、プラットフォーム固有の構成に関する問題があります。それらの問題については、各構成の項で説明します。
|
ディレクトリ構造
各ディレクトリ内では、Logon Managerは次のオブジェクト構造を使用します。
[クリックすると図が表示されます]
ユーザーが最初にディレクトリ・サーバーに接続すると、ディレクトリ・ツリー上の特定のパスを検索するようにシステムが構成されます。次のプロセスを使用して、エージェントはSSOConfigオブジェクトを検索できます。SSOConfigオブジェクトには、オーバーライド設定およびPeopleオブジェクトが含まれています。Peopleオブジェクトには、ユーザーの設定、プリファレンスおよび資格証明が含まれています。
ユーザー・オブジェクトの検索および作成
ここでは、Logon Managerがユーザー・オブジェクトや構成情報の検索で使用する方法、およびこれらのオブジェクトの作成方法について説明します。
エージェントは、ユーザー資格証明を格納および検索する特定オブジェクトを検索する必要があります。最初に接続に成功した後、エージェントによって、次の場所にあるユーザー・レジストリにオブジェクトDNが記録されます。
HKCU\…\Extensions\SyncManager\%Extension%:Root
%Extension%は、「Sync Order」で指定された任意の名前にすることができます(「同期」を参照)。ただし、特定のワークステーションからはじめて接続するときは、ユーザー・オブジェクトが移動するか、またはユーザー・レジストリにこの情報が含まれていない場合は、エージェントがユーザー・オブジェクトを検索する必要があります。
Logon Managerでは、ディレクトリ・サーバーにユーザー資格証明を保存するための最適な場所を検索するために3つの方法が使用されます。各方法では、指定された識別名が検索され、後の2つの方法では、ルートに向かってディレクトリ・ツリーを移動し、関連する情報を持つ親オブジェクトが検索されます。
・ 1番目の方法では、指定された場所でユーザー・オブジェクト(CN=%UserName%,OU=People)が検索されます。
・ 2番目の方法では、適切な場所へのユーザー固有のポインタ・オブジェクト(CN=%UserName%,OU=SSOLocator)が検索され、オブジェクトが存在しない場合は、エージェントによってオブジェクトが検出されるか、またはエージェントによってルートが確認されるまでツリーを移動します。
・ 3番目の方法では、適切な場所へのデフォルト・ポインタ(CN=default,OU=SSOLocator)が検索されます。存在しない場合は、エージェントによってオブジェクトが検出されるか、またはエージェントによってルートが確認されるまでツリーを移動します。
いずれの方法も成功しなかった場合、ユーザーはディレクトリ・サーバーに資格証明を保存できません(既存のローカル資格証明は使用可能です)。
|
|
%UserName%変数は、ユーザー・システムのユーザー名/IDからMicrosoft Active Directoryに自動的に設定されます。LDAPディレクトリ・サーバーの場合、%UserName%変数は、ユーザーがディレクトリ・サーバーへのバインドを実行するユーザー名/IDから設定されます。
|
方法1: Logon Managerによるユーザー・オブジェクトの検索
Logon Managerでは、最初に、OU=Peopleオブジェクト内で、ルート・レジストリ・キーで指定されたユーザー・オブジェクトCN=%UserName%が検索されます(前述の説明を参照)。
次のようにレジストリ・キーを設定すると、
OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com,
エージェントは次の項目を検索します。
CN=%UserName%,OU=People,OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com.
ルート・レジストリ・キーが設定されていない場合、エージェントは、
HKLM\…\Extensions\SyncManager\%Extension%
で「User Paths」(Synchronization\LDAP\Requiredを参照)または「Naming Attribute string」(Synchronization\LDAP\Advancedを参照)を検索します。これらは、エージェントが検索する場所を指します。
たとえば、次のように UserPath1を設定するとします。
CN=users,DC=Company,DC=com
エージェントは次の項目を検索します。
CN=%UserName%,OU=People,OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com
方法2: Logon Managerによるユーザー・ポインタの検索
ユーザー・オブジェクトが存在しない場合、次にLogon Managerでは、SSOConfigオブジェクトと同じオブジェクト内で、SSOLocatorオブジェクトが検索されます。したがって、前述の例を続行すると、エージェントは次の項目を検索します。
CN=%UserName%,OU=SSOLocator,OU=QA,OU=Eng,DC=Company,DC=com
ユーザー・ポインタが存在しない場合、エージェントはルートに向かってツリーを移動し、最初に次の場所を検索します。
CN=%UserName%,OU=SSOLocator,OU=Eng,DC=Company,DC=com
次に
CN=%UserName%,OU=SSOLocator,DC=Company,DC=com
ユーザーCNを持つSSOLocatorオブジェクトが存在する場合は、ユーザー資格証明が保存されている場所を指します。エージェントによって、この情報はユーザーのルート・レジストリ・キーに記録され、今後のログオンではその場所が検索されます。
ポインタでディレクトリ・ツリーの任意の場所を示すことができることに注意してください。たとえば、次の場所のポインタは、
CN=%UserName%,OU=SSOLocator,OU=Eng,DC=Company,DC=com
次の場所にあるユーザー・オブジェクトを指すことができます。
CN=%UserName%,OU=People,OU=SSOConfig,OU=Sales,DC=Company,DC=com.
方法3: Logon Managerによるデフォルト・ポインタの検索
ユーザー・ポインタが存在しない場合、次にLogon Managerでは、各SSOLocatorオブジェクト内で、デフォルト・オブジェクトが検索されます。前述の例を続行すると、エージェントは次の項目を検索します。
CN=default,OU=SSOLocator,OU=QA,OU=Eng,DC=Company,DC=com
CN=defaultの SSOLocatorオブジェクトが存在する場合は、ユーザー資格証明がデフォルトで保存されている場所を指します。エージェントによって、この情報はユーザーのルート・レジストリ・キーに記録され、今後のログオンではその場所が検索されます。デフォルト・オブジェクトには、OU=People,OU=SSOConfig,OU=Sales,DC=Company,DC=comなどがあります。
ファイル・システム同期サポート
Oracle Enterprise Single Sign-On Administrative Consoleでは、UNC (Universal Naming Convention)で指定できる任意のネットワーク・ドライブ/デバイスとのファイル・システム同期がサポートされています。また、ファイル・システム同期を使用すると、複数のユーザーが単一のワークステーションを共有するKioskユーザーのシナリオもサポートできます。
ファイル・システム構造
ユーザーが最初にファイル・システムに接続すると、特定のパスを検索するようにコンピュータが構成されます。次に、エージェントはvGOConfigオブジェクトを検索するように指示され、このオブジェクトには、オーバーライド設定およびPeopleオブジェクトが含まれており、Peopleオブジェクトには、ユーザーの設定、プリファレンスおよび資格証明が含まれています。
データベース同期サポート
Oracle Enterprise Single Sign-On Administrative Consoleでは、クライアント・ワークステーションとリレーショナル・データベース・サーバー間のユーザー資格証明、アプリケーション・ログオンおよびグローバル・エージェント設定の同期がサポートされています。サポートされるサーバーとして、Oracle Database、Microsoft SQL Server、IBM DB2などがあります。
このタイプの同期では、Logon Manager構成オブジェクトおよびユーザー・データ・コンテナは、Logon Manager固有の表のデータベース・レコードとしてサーバーに保存されます。
・ SSO_ADMINでは、Oracle Enterprise Single Sign-On Administrative Consoleで作成した構成オブジェクトがレコードとして保存されます。
・ EntList (アプリケーション・ログオン)、FTUList (設定ウィザード構成)
・ AdminOverride (グローバル・エージェント設定)
同期中、すべてのワークステーション・ユーザーは、この表から自分自身のログオンを読み取り上書きし、管理者のみが(Oracle Enterprise Single Sign-On Administrative Consoleを使用して)書き込むことができます。これらの構成オブジェクトは、ファイル・システムおよびディレクトリ・サーバーのシンクロナイザの場合と同じ階層レイアウトでOracle Enterprise Single Sign-On Administrative Consoleに表示されます。
・ SSO_USERSでは、ユーザー資格証明、プリファレンスおよび同期の状態がレコードとして保存されます。同期中、ユーザーは自分自身のレコードを読み取り、書き込みます。現在ログオンしているユーザーのレコードにのみアクセスできます。Oracle Enterprise Single Sign-On Administrative Consoleでは、各ユーザーのレコードはユーザー・コンテナ内に表示されます。
Logon Managerがデータベース・サーバーに接続すると、構成オブジェクトおよびオーバーライド設定が(SSO_ADMINから)読み取られ、(SSO_USERSの)ユーザー・データが同期化されます。
データベース同期を構成する手順は、その他の同期方法と似ています。
1. データベース・スキーマを拡張して、前述の2つの表を作成します。
2. コンテナ・オブジェクトSSOConfigオブジェクトを作成します。このオブジェクトには、オーバーライド設定およびPeopleオブジェクトが含まれており、Peopleオブジェクトには、ユーザーの設定、プリファレンスおよび資格証明のためのユーザー・コンテナが含まれています。
複数のシンクロナイザのサポート
Logon Managerでは、複数のシンクロナイザ拡張および同じ拡張の複数の構成との同期化がサポートされています。いずれの場合も、エージェントでは、最初の拡張との同期、次に各従属拡張との同期の完了が試行されます。
オーバーライド設定が各拡張に存在する場合があります。エージェントがオーバーライド設定を含む複数の拡張を処理する方法の詳細は、「オーバーライド設定の複数セットの処理」を参照してください。
|
|
%AD%、%LDAP%および%File%はそれぞれの拡張を表し、%Extension%はそれらの拡張のいずれかを表します。
|
複数のシンクロナイザ拡張
Logon Managerでは、複数のシンクロナイザ拡張の同時使用がサポートされています。たとえば、エージェントは最初にMicrosoft Active Directoryサーバーと同期化し、次にOracle Directory Server Enterprise Edition、最後にファイル・システムのシンクロナイザと同期化できます。Authentication Managerの場合、その後エージェントはスマート・カードと同期化できます。
これを有効にするには、次の手順を実行します。
1. 目的のシンクロナイザ拡張でLogon Managerをインストールします。
2. Oracle Enterprise Single Sign-On Administrative Consoleで、グローバル・エージェント設定の既存セットを選択するか、または新しいセットを作成します。
3. 左側のペインで、グローバル・エージェント設定を開き、「Synchronization」を右クリックし、「Manage Synchronizers」を選択します。
4. 「Synchronizers」ダイアログ・ボックスで「Add」を選択し、この拡張に名前を付け、拡張タイプ(Active Directory、ファイル・システム、LDAPなど)を選択した後、「OK」をクリックします。
5. 追加のシンクロナイザ拡張ごとに前の手順を繰り返し、必要に応じて並べ替えます。
6. シンクロナイザごとに、左側のペインでそのシンクロナイザを選択し、右側のペインで、パスが選択され、指定の場所が正しいことを確認します。
|
|
ユーザーが複数の拡張を区別できるように、DisplayNameレジストリのエントリを設定することをお薦めします。
|
同一のシンクロナイザ拡張の複数の構成
Logon Managerでは、複数の構成で指定された拡張の使用がサポートされています。たとえば、あるLDAPディレクトリ・サーバーの構成をOracle Directory Server Enterprise Edition用に、別のLDAPディレクトリ・サーバーの構成をNovell eDirectory用にすることができます。
これを有効にするには、次の手順を実行します。
1. 目的のシンクロナイザ拡張でLogon Managerをインストールします。
Oracle Enterprise Single Sign-On Administrative Consoleで、グローバル・エージェント設定の既存セットを選択するか、または新しいセットを作成します。
1. 左側のペインで、グローバル・エージェント設定を開き、「Synchronization」を右クリックし、「Manage Synchronizers」を選択します。
2. 「Synchronizers」ダイアログ・ボックスで「Add」を選択し、この拡張に名前を付け、拡張タイプLDAPを選択した後、「OK」をクリックします。
3. 追加のシンクロナイザ拡張ごとに前の手順を繰り返し、必要に応じて並べ替えます。
4. シンクロナイザごとに、左側のペインでそのシンクロナイザを選択し、右側のペインで、パスが選択され、指定の場所が正しいことを確認します。
|
|
ユーザーが複数の拡張を区別できるように、DisplayNameレジストリのエントリを設定することをお薦めします。
|
オーバーライド設定オブジェクト
構成オブジェクト
シンクロナイザ拡張では、グローバル・エージェント設定(管理オーバーライド)、アプリケーション構成情報(EntList)、および初回使用時のシナリオ(FTUlist)のオーバーライド構成をダウンロードできます。これらの各オブジェクトには、ローカルで対応するものがあります。
|
設定タイプ
|
ローカルで対応するもの
|
ディレクトリ・サーバー/データベース・オブジェクトの名前
|
ファイル・システム・オブジェクトの名前
|
|
管理オーバーライド
|
HKLMの下のレジストリ・エントリ
|
SSOAdminOverride
|
AdminOverride
|
|
アプリケーション・ログオン構成情報
|
entlist.iniファイル
|
SSOentlist
|
entlist
|
|
はじめて使用する場合の構成情報(バルク追加情報など)
|
ftulist.iniファイル
|
SSOftulist
|
ftulist
|
後の2つのタイプのオブジェクトは、ローカルで対応するもの(entlist.iniおよびftulist.ini)と形式およびレイアウトが似ています。 最初のタイプのオブジェクトの構文は、次のとおりです。
[HKLM\Software\Passlogix]
REQUIRED: RegistryPath\RegistryPath:KeyName=TYPE:Value
この形式は、Oracle Enterprise Single Sign-On Administrative Consoleによってエクスポートされます。
例
[HKLM\Software\Passlogix]
Shell:AutoBackupPath=STRING:\\FS\Home
Shell:ShowAccessBtn=DWORD:1
Extensions\AccessManager:ReauthOnReveal=DWORD:0
|
|
ディレクトリ・サーバーのインストール中、ロール・グループ・ベースのアクセスのサポートとともにこの構成情報を有効にできます。
|
|
|
サーバーURLなどの特定の設定はオーバーライドすべきではないため、管理オーバーライド・オブジェクトから永久に除外されます。オーバーライドの対象から除外されるエントリの完全リストについては、グローバル・エージェント設定に関する項を参照してください。
|
複数のオーバーライド設定セットの使用
エージェントでは、少なくとも各オーバーライド設定のいずれかを持つ拡張が検索されるまで、各拡張からの各タイプのオーバーライド設定の検索が試行されます。オーバーライド設定がダウンロードされた後、エージェントでは、そのオーバーライド設定のその他の拡張の問合せは実行されません。
サンプル・シナリオ
例
・ 順序: Ext1、Ext2、Ext3、Ext4
・ Ext1には、管理オーバーライドがあります。
・ Ext2には、管理オーバーライド、entlist.iniファイル、および初回使用時の情報ファイルがあります。
・ Ext3には、管理オーバーライドがありません。
・ Ext4には、管理オーバーライド、および初回使用時の情報ファイルがあります。
シナリオA
・ Ext1が接続され、管理オーバーライドがダウンロードされ、同期化されます。
・ Ext2が接続され、アプリケーション構成情報および初回使用時の構成情報がダウンロードされ、同期化されます。
・ Ext3が接続され、同期化されます。
・ Ext4が接続され、同期化されます。
シナリオB
・ Ext1が失敗します。
・ Ext2が接続され、管理オーバーライド、アプリケーション構成情報および初回使用時の構成情報がダウンロードされ、同期化されます。
・ Ext3が接続され、同期化されます。
・ Ext4が接続され、同期化されます。
シナリオC
・ Ext1が失敗します。
・ Ext2が失敗します。
・ Ext3が接続され、同期化されます。
・ Ext4が接続され、管理オーバーライドおよび初回使用時の構成情報がダウンロードされ、同期化されます。
選択可能なバックアップ/リストア
ユーザー資格証明のローカル・ストアとリモートのバックアップ・ファイルを比較して、古いセットの上に新しいセットを書き込むようにエージェントを構成することができます。この選択可能なバックアップ/リストア(または同期化)は、コマンドラインから(したがって、atまたはtimedジョブから)、または特定のエージェント・イベント(起動タスク、リフレッシュ・タスクなど)を構成することによってトリガーできます。
|
|
資格証明の個々のセットは比較されません。同期の詳細は、「同期」を参照してください。
|
コマンドライン同期
コマンドライン同期をトリガーするには、次の構文を使用してコマンドラインからエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。
ssoshell.exe /mobility /sync [path] /silent
説明:
|
[path]
|
バックアップ・ファイルが保存されているディレクトリへの実際のパスが存在します。(デフォルトは、最後にコマンドライン・バックアップが保存されたディレクトリまたはShell:AutoBackupPathが指す場所です。)
|
|
/silent
|
バックアップ/リストアの実行時にバックアップ/リストア・ウィザードを表示しません。
|
\\FS\Backup\Privateのネットワーク共有からの完全なサイレント同期化を実行するには、次のコマンドを実行します。
ssoshell.exe /mobility /sync "\FS1\Backup\Private" /silent
最後に使用された場所、またはShell:AutoBackupPathが指す場所に同期化するには、次のコマンドを実行します。
ssoshell.exe /mobility /sync /silent
パスワード生成ポリシー
現在使用可能なパスワード生成ポリシーを表示し、ポリシー設定へのアクセスを提供します。現在のパスワード・ポリシーを右側のペインに表示するには、左側のペインで「Password Generation Policies」をクリックします。
詳細は、「パスワード・ポリシーの設定」を参照してください。
新しいパスワード・ポリシーを追加するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ 右側のペインで、「Add」をクリックします。
または
・ 左側のペインで、「Password Generation Policies」を右クリックしてから、ショートカット・メニューの「New Policy」をクリックします。
2. 「Policy Name」に値を入力し、「OK」をクリックします。右側のペインに「Policy Subscribers」タブが表示され、新しいポリシーを使用するアプリケーションを追加できます。
リスト内のパスワード・ポリシーの構成を変更するには、次の手順を実行します。
・ ポリシーをクリックして、「Edit」をクリックします。右側のペインに、「Policy Subscribers」タブが表示されます。
1つ以上のパスワード・ポリシーを削除するには、次の手順を実行します。
・ ポリシーを選択し(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)、「Remove」をクリックします。
パスワード・ポリシーの設定
Logon Managerを使用すると、管理者は自動パスワード生成を制御するポリシーを設定できます。パスワード・ポリシーによって、組織のセキュリティを保証する一方で、ユーザー・ログオンが容易になります。
大部分のアプリケーションには、パスワードの長さや、番号やシンボルなどを使用できるかどうかに関する制約があります。Logon Managerのパスワード生成機能では、事前定義された一連の制約に従ってランダムな文字列で構成され、パスワード・ポリシーとして保存されるパスワードが自動的に作成されるため、アプリケーション・ログオンのセキュリティが強化されます。各ポリシーは、複数のアプリケーション(サブスクライバ)に適用できます。
事前定義されたパスワード・ポリシーを使用すると、パスワード変更を完全に自動化でき、複雑なパスワード、定期的なパスワード変更、ユーザーには知られないアプリケーション固有のパスワードなどの高度なセキュリティ・スキームを実装できます。
|
|
作成したポリシーによってパスワードの作成が難しくなったか、または不可能になった場合、Logon Managerでは最大5秒間のパスワードの作成が試行され、その後、パスワードが作成できなかったことがユーザーに通知されます。ダイアログ・ボックスを使用すると、特定のポリシーで生成されたパスワードをプレビューできます。
|
Adding a Password Policy
このダイアログ・ボックスは、新しいパスワード生成ポリシーを追加して名前を付ける場合に使用します。
・ 「Policy Name」に値を入力し、「OK」をクリックします。
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 「Password Generation Policy」を右クリックして、ショートカット・メニューから「New Policy」を選択します。
または
2. 「Insert」メニューから、「Password Generation Policy」を選択します。
パスワード・ポリシーのテスト
「Test Password Policy」ダイアログ・ボックスを使用して、現在選択されているパスワード・ポリシーに基づいて一連のテスト・パスワードを生成します。これにより、このポリシーが適用されるアプリケーションからのパスワード変更リクエストに、エージェントがどのように応答するのかを確認できます。生成するテスト・パスワードの数を選択できます。
テスト・パスワードの生成
1. 「Number of test passwords to generate」を選択するか、入力します。
2. 「Generate Passwords」をクリックします。出力ウィンドウにテスト・パスワードが表示されます。
3. 終了したら、「Cancel」またはダイアログの右上隅にある「X」をクリックしてダイアログを閉じます。
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 次のいずれかを実行します。
・ パスワード・ポリシーを選択します。
または
・ 新しいパスワード・ポリシーを作成します。.
2. 右側のペインで、「Password Constraints」タブをクリックします。
3. 制約の設定を指定するか変更し、「Test Policy」をクリックします。
選択済のパスワード・ポリシー
構成済パスワード生成ポリシーを表します。右側のペインのタブを使用すると、このポリシーのプロパティの表示または変更、このプロパティを使用するアプリケーションの追加または削除、セキュリティ設定の変更ができます。
詳細は、「パスワード・ポリシーの設定」を参照してください。
表示または編集するポリシー・パスワードの選択
1. 左側のペインで、「Password Generation Policies」をクリックします。
2. 右側のペインのリストからポリシーを選択し、「Edit」をクリックします。右側のペインに、「Policy Subscribers」タブが表示されます。
または
1. 左側のペインで、「Password Generation Policies」アイコンの横のプラス記号(+)をクリックし(または「Password Generation Policies」をダブルクリックして)、構成済のログオンを表示します。
2. ポリシー・アイコンをクリックして選択します。右側のペインに、「Policy Subscribers」タブが表示されます。
|
Add
|
他のポリシーを作成します。
|
|
Delete
|
選択したポリシーを削除します。
|
|
Add Note
|
将来の参考用にこのポリシーのメモをアタッチします。
|
Policy Subscribers
「Policy Subscribers」タブは、選択したパスワード生成ポリシーを使用するアプリケーションを追加または管理する場合に使用します。
詳細は、「パスワード・ポリシーの設定」を参照してください。
ポリシーにアプリケーションを追加するには、次の手順を実行します。
1. 「追加」をクリックします。「Select Application」ダイアログ・ボックスが表示されます。
2. このポリシーを使用するアプリケーションを選択します。([Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。)
3. 「OK」をクリックします。
ポリシーからアプリケーションを削除するには、ポリシーを選択し(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)、「Remove」をクリックします。
このタブを表示するには、次の手順を実行します。
1. 左側のペインで、「Password Generation Policies」をクリックします。
2. 右側のペインのリストからポリシーを選択し、「Edit」をクリックします。
3. 右側のペインに、「Policy Subscribers」タブが表示されます。
「Password Constraints」タブ
「Password Constraints」タブは、パスワードに使用可能な文字の種類、数、位置および繰返しを設定または変更する場合に使用します。これらの制約は、選択したポリシーをサブスクライブするアプリケーション用にLogon Managerが自動生成する新しいパスワードに適用されます。
このポリシーのパスワード制約に基づいたテスト・パスワードを表示するには、「Test Policy」ボタンをクリックします。
詳細は、「パスワード・ポリシーの設定」を参照してください。
パスワード制約を設定するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ パスワード・ポリシーを選択します。
または
・ 新しいパスワード・ポリシーを作成します。.
2. 右側のペインで、「Password Constraints」タブをクリックします。
3. 表示されたコントロールから制約オプションを選択します。
パスワードの制約オプション
|
長さの制約
|
|
Minimum Length
|
パスワードに使用する最小文字数(1から128)。デフォルトは8です。
|
|
Maximum Length
|
パスワードに使用できる最大文字数(1から128)。デフォルトは8です。
|
|
繰返しの制約
|
|
Maximum repeated non-consecutive characters
|
パスワード内で特定の文字を任意の位置で繰り返すことができる最大回数(0から127)。デフォルトは7です。
|
|
Maximum repeated consecutive characters
|
パスワード内で特定の文字を連続して(その文字に隣接して)繰り返すことができる回数(0から127)。デフォルトは7です。
|
|
英字
|
|
Allow Uppercase Characters
|
パスワードでの大文字の使用を許可する場合に選択し、許可する最小文字数を入力または選択します。
|
|
Allow Lowercase Characters
|
パスワードでの子文字の使用を許可する場合に選択し、許可する最小文字数を入力または選択します。
|
|
数字
|
|
Allow Numeric Characters
|
パスワードでの数字の使用を許可する場合に選択し、許可する最小および最大文字数を入力または選択します。
|
|
Can Start Password
|
数字で始まるパスワードを許可する場合に選択します。デフォルトでは、パスワードの先頭に数字を使用できます。
|
|
Can End Password
|
数字で終わるパスワードを許可する場合に選択します。デフォルトでは、パスワードの末尾に数字を使用できます。
|
|
特殊文字
|
|
Allow Special Characters
|
特殊文字(英数字以外)の使用を許可する場合に「Allow Special Characters」を選択し、許可する最小および最大文字数を入力または選択します。デフォルトでは、特殊文字は許可されていません。
|
|
Can Start Password
|
特殊文字で始まるパスワードを許可する場合に選択します。デフォルトでは、パスワードの先頭に特殊文字を使用できます。
|
|
Can End Password
|
特殊文字で終わるパスワードを許可する場合に選択します。デフォルトでは、パスワードの末尾に特殊文字を使用できません。
|
|
その他の文字
|
|
パスワードでのその他の文字の使用を許可する場合に選択します。
|
|
除外する文字
|
|
パスワードから除外する特定の文字を入力します。
|
|
前のパスワードの制約
|
|
Password must not be the same as previous password
|
前のパスワードの再利用を防ぐ場合に選択します。
|
|
Limit the amount of characters that are the same as the previous password
|
前のパスワードからの文字の繰り返しを制限する場合に選択します。
|
|
Number of characters that can be the same from the previous password
|
前のパスワードからの一部の文字の再利用を許可する場合、許可する最大文字数を選択します。
|
|
Logon Managerは、1つの文字が複数回使用されても同じ文字と認識するため、新しいパスワードでその文字を複数回使用することが可能です。
前のパスワードにAが3つ含まれる場合に、前のパスワードから1文字を再利用可能に指定すると、Logon Managerによって、新しいパスワードでAを複数回使用することが許可されます。
|
|
|
テスト・ポリシー
|
|
ダイアログ・ボックスを表示し、ここでは、現在のポリシー設定に基づくテスト・パスワードのセットを生成および表示できます。
|
この設定は、バージョン11.1.1.1.0で変更されました。
パスフレーズ・セットの使用
セキュリティを拡張するために、パスワードのリセットをリクエストするときに、ユーザーに表示される質問のグループを作成できます。パスフレーズ・セットと呼ばれるこれらのグループは、「Passphrase Questions」画面を使用して作成、構成、変更および削除します。
|
|
この機能は、Windows Authenticator v2、LDAP Authenticator v2およびSmart Card認証(SCAuth)のAuthentication Managerでのみ使用されます。
|
セキュリティを向上させるには、現在のオーセンティケータでSecondaryAuth.dllシグネチャを確認し、ロードする前にその信頼性を検証します。製品で提供されるものではなく、2つ目のオーセンティケータ拡張を使用する場合、実装する前に、署名のためにOracleに送信する必要があります。
パスフレーズ・セットの追加
パスフレーズ・セットを追加するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ 左側のペインで、「Passphrase Questions」を右クリックして、ショートカット・メニューから「New Passphrase」を選択します。
または
・ 右側のペインで右クリックして、ショートカット・メニューから「New Passphrase」を選択します。
または
・ 右側のペインの下部の「Add」ボタンをクリックします。
または
・ 「Insert」メニューから、「Passphrase」を選択します。
2. 「Add Passphrase Set」ダイアログ・ボックスでパスフレーズ・セット名を入力し、「OK」をクリックします。
3. 右側のペインの「Questions」タブを使用して、現在のパスフレーズ・セットに質問を追加します。
パスフレーズ・セットの削除
パスフレーズ・セットを削除するには、次のいずれかを実行します。
1. 左側のペインで、「Passphrase Questions」を選択します。
2. 右側のペインのパスフレーズ・セットのリストから、セットを選択して、「Delete」ボタンをクリックします。
または
・ セットを選択し、右クリックして、ショートカット・メニューから「Delete」を選択します。
または
1. 左側のペインで「Passphrase Questions」をダブルクリックします(または「+」記号をクリックします)。
2. 展開された「Passphrase Questions」メニューから、既存のパスフレーズ・セットを右クリックし、ショートカット・メニューから「Delete」を選択します。
パスフレーズ・セットの変更
パスフレーズ・セットを変更するには、次の手順を実行します。
1. 「Passphrase Questions」メニューの下のパスフレーズ・セットをダブルクリックします。そのセットの質問は、右側のペインの「Questions」タブに表示されます。
・ セットに質問を追加するには、「Add」ボタンをクリックして、「Add a Question」ダイアログ・ボックスに質問を入力します。次に、「OK」をクリックします。
・ セットの質問を編集するには、選択して、「Edit」ボタンをクリックします。「Add a Question」ダイアログ・ボックスで質問を変更します。次に、「OK」をクリックします。
・ セットの質問を削除するには、選択して、「Remove」ボタンをクリックします。Logon Managerによって削除の確認が求められます。「OK」をクリックします。
デフォルトのパスフレーズ・セットの設定
このオプションは、パスフレーズ・セットをデフォルトとして指定する場合に使用します。デフォルト・セットには、ユーザーが初回使用(FTU)時に応答するパスフレーズ質問が含まれています。FTUウィザードは、次の場合に起動されます。
・ インストール後にはじめてエージェントを起動したとき
または
・ 管理者がftulistオブジェクトをデプロイするとき(ftulist.iniファイルなど)。
初回使用時、Logon Managerユーザーはパスフレーズ質問を選択し、応答を指定します。ユーザーがプライマリ・ログオン・パスワードを後で変更する場合、この格納されたパスフレーズ応答を使用してLogon Managerの認証を再設定できます。次回シングル・サインオンの再認証が必要なときに、ユーザーが新しいパスワードを入力すると、Logon Managerによってユーザーのアイデンティティを確認するためのパスフレーズ質問が表示されます。
エージェントは、1つのパスフレーズ・セットのみを使用します。ユーザーに応答してもらう質問セットを決定し、デフォルトのパスフレーズ・セットとして指定する必要があります。デフォルトとして指定するセットは、ftulistに書き込まれる唯一のセットです。
Oracle Enterprise Single Sign-On Administrative Consoleにftulistをインポートし、パスフレーズ・セットを変更してから、そのftulistをリポジトリに再エクスポートする場合は、そのパスフレーズ・セットをデフォルトとして再設定しないと、エクスポートに含められません。
デフォルトのパスフレーズ・セットを割り当てるには、次のいずれかを実行します。
・ 右側のペインでセット名を右クリックし、ショートカット・メニューから「Set As Default」を選択します。
または
・ 左側のペインでセット名を右クリックし、ショートカット・メニューから「Set As Default」を選択します。
パスフレーズ・セット名は右側と左側の両方ペインで太字で表示され、デフォルトのセットであることを示しています。
「Questions」タブの使用
「Questions」タブは、選択されたパスフレーズ・セットの質問と設定を管理する場合に使用します。左側のペインからこのタブを表示するには、「Passphrase Questions」を選択して、太字で表示される「Default Set」を選択します。
パスフレーズ・セットに質問を追加するには、次の手順を実行します。
1. ドロップダウン・メニューから、言語を選択します。
2. 「Add」をクリックするか、または「Insert」メニューから「Passphrase」を選択します。
3. 「Add Question」ダイアログ・ボックスで、質問を入力します。
4. 応答の最小長を選択または入力します。
5. 「OK」をクリックします。
コントロール
|
Language
|
パスフレーズ質問の言語を選択します。
|
|
Default Question
|
現在のデフォルトのパスフレーズ質問のリストを表示します(これはデフォルトで選択されています)。新しいパスフレーズ質問が追加されると、デフォルトのパスフレーズの選択が解除されます。選択すると、デフォルトのパスフレーズは現在のパスフレーズ・セットに対して無効になります。選択を解除すると、デフォルトのパスフレーズは現在のパスフレーズ・セットに対して有効になります。
|
|
Enabled Question
|
現在のパスフレーズ質問のリストを表示します。選択されている項目は、現在のセットに対して有効なパスフレーズです。パスフレーズを無効にするには、チェック・ボックスをクリックして選択を解除します。パスフレーズ質問を変更するには、それをダブルクリックするか、選択して「Edit」をクリックします。
|
|
Add
|
新しいパスフレーズ質問を追加します。「Add Question」ダイアログ・ボックスが表示されます。
|
|
Remove
|
選択されたパスフレーズ質問を削除します。確認プロンプトが表示されます。
|
|
Edit
|
選択されたパスフレーズ質問を変更します。「Edit Question」ダイアログ・ボックスが表示されます。
|
|
Set This Passphrase Set as Default
|
現在のセットをデフォルトとして設定します。左側のペインで、デフォルトのパスフレーズ・セットの名前が太字で表示されます。
|
|
Remove or Disable?
|
パスフレーズ質問を作成してデプロイし、エンド・ユーザーによる使用を開始したら、そのパスフレーズ質問を削除しないでください。削除されたパスフレーズ質問を選択したユーザーは、Logon Manager資格証明へのアクセス権を取り消さないと、パスワードを変更できなくなります。使用中のパスフレーズ質問を削除して、初回使用時に表示されないようにするには、「Questions」タブのリストでチェック・ボックスの選択を解除することによってその質問を無効にします。
|
資格証明共有グループの作成
資格証明共有グループを使用すると、ユーザーは、1つのアプリケーションで行われた資格証明の変更を他の指定したアプリケーションに自動的に適用できます。
Logon Managerで共有グループのメンバーである任意のアプリケーションに対する資格証明の変更が処理されると、その資格証明の変更が他のすべてのグループ・メンバーに自動的に適用されます。 任意の数のWindows、メインフレーム/ホストおよびWebアプリケーションまたはそれらの組合せでは、単一の資格証明を共有できます。Windows(ドメイン)またはディレクトリ・サーバー(LDAP)のオーセンティケータが使用される場合は、同様に、選択されたアプリケーションでは単一の資格証明がオーセンティケータと共有されます。
資格証明共有グループを有効にしないかぎり、エージェントへの最初のデプロイメントの場合のみ、アプリケーションは資格証明を共有します。「Required Password Change」設定でこのパラメータを設定します。「Advanced Password Change」設定で、資格証明を共有するアプリケーションについてユーザーが管理することを許可または禁止できます。
たとえば、古いメインフレーム・アプリケーションに対して新しいWebインタフェースが実装されている企業があります。 これらの2台の間で資格証明を共有するには、資格証明共有グループを使用する方法があります。アプリケーション間で共通の資格証明が共有される場合があります(インターネット・アプリケーションや電子メール・アプリケーションなど)。これらのアプリケーションは、同一の資格証明共有グループに属している必要があります。
共有グループを作成および管理するための手順については、「資格証明共有グループ」を参照してください。
|
|
Windowsオーセンティケータのパスワードは、Domainという名前の事前定義されたグループにあります。
LDAPディレクトリ・サーバーのオーセンティケータは、LDAPという名前の事前定義されたグループにあります。
|
事前定義されたアプリケーションのサポート
現在、Oracle Enterprise Single Sign-On Administrative Consoleでは、事前定義されたアプリケーション(デフォルトの構成ファイルapplist.iniに含まれるアプリケーション)を資格証明共有グループに追加することはできません。 共有グループを識別するentlist.ini (カスタム・アプリケーションの構成ファイル)に同じ名前のセクションを作成することによって、手動でこれを実行する必要があります。 次の例では、Internet Explorerポップアップ・アプリケーションを資格証明共有グループOurServerに追加します。
例
資格証明共有グループ
現在使用可能な資格証明共有グループを表示し、グループ設定へのアクセスを提供します。
資格証明共有グループは、アカウント管理を容易にするために1つ以上のフィールドの情報を共有するアプリケーションのセットです。作成する各グループには、任意の数のアプリケーションを含めることができ、それらのアプリケーションが共有する資格証明を指定できます。
バージョン11.1.1.5.0では、資格証明の共有はデフォルトで有効になります。
グループを構成する手順については、「選択した資格証明共有グループの設定」を参照してください。
資格証明共有グループの作成
1. 左側のペインで「Credential Sharing Groups」を選択して、現在のパスワード・グループを右側のペインに表示します。
2. 次のいずれかを実行します:
・ 右側のペインで、「Add」をクリックします。
・ 左側のペインで、「Credential Sharing Groups」を右クリックしてから、ショートカット・メニューの「New Group」を選択します。
3. 「Add Sharing Group」ダイアログ・ボックスで、「Group Name」を入力し、「OK」をクリックします。
4. グループが選択されている状態で、右側のペインの「Add」をクリックし、アプリケーションをグループに追加します。詳細は、「共有グループへのアプリケーションの追加」を参照してください。
表示または編集の共有グループの選択
1. 左側のペインで「Credential Sharing Groups」を選択します。
・ 右側のペインのリストからグループを選択し、「Edit」をクリックします。
または
・ 左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
2. 次のいずれかを実行します:
・ グループ・アイコンを選択します。右側のペインに、このグループのアプリケーションのリストが表示されます。
または
・ グループ・アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。
o 「Delete」。 選択したグループを削除します。
o 「Rename」。 選択したグループの名前を変更します。
共有グループの削除
・ グループを選択し(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします)、「Remove」をクリックします。
|
|
デフォルト・グループ、ドメインまたはLDAPは削除できません。
|
ドメイン共有グループ
ドメイン共有グループとは、Windowsオーセンティケータ用に事前定義された資格証明共有グループのことです。
このパネルの使用方法の詳細は、「選択した資格証明共有グループの設定」の「共有グループへのアプリケーションの追加」を参照してください。
ドメイン資格証明共有グループを選択するには、次の手順を実行します。
1. 左側のペインで「Credential Sharing Groups」を選択します。
2. 右側のペインのリストから「Domain」を選択し、「Edit」をクリックします。
または
1. 左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
2. 「Domain」をクリックします。
LDAP共有グループ
LDAP共有グループとは、ディレクトリ・サービス・オーセンティケータ用に事前定義された資格証明共有グループのことです。 このパネルの使用方法の詳細は、「資格証明共有グループ」を参照してください。
LDAP資格証明共有グループを選択するには、次の手順を実行します。
1. 左側のペインで「Credential Sharing Groups」をクリックします。
2. 右側のペインのリストから「LDAP」を選択し、「Edit」をクリックします。
または
1. 左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
2. 「LDAP」をクリックします。
選択した資格証明共有グループの設定
Logon Managerを使用すると、資格証明共有グループの動作を柔軟かつ詳細に制御できます。構成できるオプションは、次のとおりです。
・ アプリケーション・グループのいずれかのフィールドまたはすべてのフィールドの共有。
o ユーザー名
o パスワード
o Third Field
o Fourth Field
|
|
管理者は、Microsoft Windows 7ユーザーがログオンしているときに「Password」フィールドの値を再設定しないように注意する必要があります。
|
・ ユーザーが共有グループのアプリケーションをはじめて使用するときのすべての共有フィールドへの事前入力(これによって、ユーザーが入力する必要があるのはグループで共有されていないフィールドの情報のみになります)。
・ すべての資格証明が事前に設定されているアプリケーションをユーザーが使用するときのアカウントの自動作成。
・ キー・フィールドの指定(キーの値が同じアカウントに対してのみ共有資格証明の更新や資格証明の変更を行う場合にOracle Enterprise Single Sign-On Administrative Consoleで使用されるフィールド)。
詳細は、「資格証明共有グループの作成」を参照してください。
コントロール
|
グループ・アカウントの管理
|
|
Shared credentials
|
資格証明共有グループに含めることができるフィールドのリスト。該当するボックスを選択します。
・ ユーザー名
・ パスワード
・ Third Field
・ Fourth Field
|
|
Key credential within group
|
フィールドの値を共有するアカウントの共有資格証明のみを更新するようにOracle Enterprise Single Sign-On Administrative Consoleに示すフィールドを指定します。
ユーザーが、このキー・フィールドによって制約されないアカウントを作成する場合は、すべての既存アカウントの更新を回避するために、アカウントに新しいキー・フィールドを設定する必要があります。
|
|
Pre-fill shared credentials
|
ユーザーがアプリケーションの新しいアカウントを作成するときに、共有資格証明が共有フィールドに事前移入されるように指定します。
|
|
この設定は、デフォルトで有効になっています。
|
|
|
Automatically create accounts when all credentials are known
|
すべてのフィールドが事前に設定されているアプリケーションをユーザーが使用するときに、Logon Managerがアカウントを自動作成するように指定します。
Logon Managerでアカウントの作成が完了するには、「Auto-Submit」設定も有効にする必要があります。これを行わないと、通常どおり「New Logon」ダイアログ・ボックスが表示されます。
|
|
このフィールドは、「Key credential within group」が「None」に設定されている場合にのみ使用できます。
|
|
共有グループへのアプリケーションの追加
1. 「追加」をクリックします。「Select Application」ダイアログ・ボックスが表示されます。
2. 選択したグループに含めるアプリケーションを選択します。(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします。)
3. 「OK」をクリックします。
共有グループのアプリケーションの編集
1. 左側のペインからグループを選択して「Add」をクリックします。
2. このグループに追加するアプリケーションを選択します。(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします。)選択が終了したら、「OK」をクリックします。
3. 「Group account management」の下にある「Shared credentials」セクションで、必要に応じて「Username」、「Password」、「Third Field」、「Fourth Field」の横にあるボックスを選択します。
4. フィールドをキーの資格証明のフィールドとして指定するには、「Key credentials within group」ドロップダウン・リストから選択します。
5. または、前述の手順で「None」を選択して、キーの資格証明を指定しなかった場合は次を行います。
・ Logon Managerによって共有資格証明が自動入力されるようにする場合は、「Pre-fill shared credentials」を選択します。
・ ユーザーに「New Logon」ダイアログ・ボックスが表示されることなく、Logon Managerによってアカウントが作成されるようにする場合は、「Automatically create accounts when all credentials are known」を選択します。
|
|
「Pre-fill shared credentials」設定と「Automatically create accounts when all credentials are known」設定は、キーの資格証明を選択した場合、使用できません。
すべての資格証明が既定の場合にアカウントを自動作成するには、アプリケーションに対して「Auto-Submit」も有効にする必要があります。
|
共有グループからのアプリケーションの削除
1. 選択したグループから削除するアプリケーションを選択します。(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします。)
2. 「Remove」をクリックします。
>ユーザーの除外の使用
除外設定を使用すると、特定のユーザーが特定のアプリケーションの資格証明を保存しないように設定できます。除外リストを作成および公開するプロセスは、Oracle Enterprise Single Sign-On Administrative Consoleの他のオブジェクトと同じワークフローに従います。
通常、Logon Managerは最初にアプリケーションを検出したときにユーザーに資格証明の入力を求めて、この資格証明を保存し将来の使用のために自動的に取り込みます。除外を使用すると、特定のアプリケーションの除外リストに追加されていたユーザー名が入力されたとき、Logon Managerはそのユーザーの資格証明の保存を許可しません。
Logon Managerに除外リストを公開すると、次のように処理されます。
・ ユーザーは、除外された資格証明を使用してアプリケーションに手動でログオンできますが、エージェントは除外リストに登録された資格証明を持つアプリケーションには応答せず、ユーザーは除外リストに表示される資格証明を保存することができません。
・ ポリシーを配置する前に、ユーザーがすでに保存していた資格証明を除外すると、アプリケーションに提示されなくなり、このような除外された資格証明はユーザーの資格証明リストから削除されます。
・ 資格証明のサイレント取得では、除外された資格証明は取得されません。
除外リストの作成
新しい除外リストを作成するには、Oracle Enterprise Single Sign-On Administrative Consoleで次の手順を実行します。
1. 次のいずれかを実行します:
・ 「Insert」メニューから「Exclusion List」を選択します。
・ 左側のペインで「Exclusions」ノードを選択し、右側のペインの下部で「Add」をクリックします。
・ 「Exclusions」ノードを右クリックし、コンテキスト・メニューから「New List」を選択します。
・ 「Exclusions」ノードを選択し、右側のペインの空いているスペースを右クリックします。
2. 「Add Exclusion List」ダイアログ・ボックスでリストの名前を入力します。
左側のペインのツリーで、「Exclusions」ノードの下に、この除外リスト名が表示されます。右側のペインには、各除外リストに関連付けられた、次の3つのタブが含まれています。
・ Exclusion Subscribers
・ Excluded Usernames
・ Security
これらのタブを使用して、各除外リストを構成します。
除外リストの公開
除外リストを公開する手順は、他の構成オブジェクトを公開する手順と同じです。除外リストを公開する手順については、「リポジトリへの公開」を参照してください。
Active Directoryユーザーに関する特別な考慮事項
除外リストを公開するActive Directoryユーザーは、SSOExclusionAdminsグローバル・セキュリティ・グループが存在する場合は、このグループのメンバーである必要があります。Logon Managerは、SSOExclusionAdminsグループを次のように処理します。
・ Active Directoryを使用していてSSOExclusionAdminsグループが存在する場合、除外を公開するには、ユーザーがこのグループのメンバーである必要があります。
・ Active Directoryを使用していてSSOExclusionAdminsグループが存在しない場合、または別のディレクトリ・サービスを使用している場合には、公開権限を持っていれば誰でも除外リストを公開できます。
・ Active Directoryを使用していて、SSOExclusionAdminsグループが存在し、このグループのメンバーではないユーザーが除外オブジェクトを含むいくつかのオブジェクトの公開を試みた場合、除外オブジェクト以外のオブジェクトが公開されます。
構成ファイルによる除外リストの公開
除外リストをスタンドアロン構成(entlist.ini)のファイルとして公開することはできません。構成ファイルを公開するときは(つまり、「Publish to Repository」画面の「File mode」セクションでボックスを選択した場合は)、除外を構成したアプリケーションのサブセットとして除外リストが公開されます。
この機能は、Logon Managerバージョン11.1.1.5.0で追加されました。
除外リストの追加
このダイアログ・ボックスを使用して、新しい除外リストを追加し名前を付けます。
・ 「Exclusion List」に名前を入力し、「OK」をクリックします。
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 「Exclusions」を右クリックして、ショートカット・メニューから「New List」を選択します。
または
2. 「Insert」メニューから、「Exclusion List」を選択します。
選択した除外リストの使用
作成した除外リストが表示されます。右側のペインのタブを使用すると、このリストのプロパティの表示、このリストを適用するアプリケーションおよびユーザーの追加または削除、セキュリティ設定の変更ができます。
詳細は、「除外の使用」を参照してください。
表示または編集する除外リストの選択
1. 左側のペインで「Exclusions」をクリックします。
2. 右側のペインのリストから除外リストを選択し、「Edit」をクリックするか、右側のペインの除外リスト名をダブルクリックします。右側のペインに、「Exclusion Subscribers」タブが表示されます。
または
1. 左側のペインで、「Exclusions」アイコンの横のプラス記号(+)をクリックし(または「Exclusions」をダブルクリックして)、作成済の除外リストを表示します。
2. 除外リストをクリックして選択します。右側のペインに、「Exclusion Subscribers」タブが表示されます。
|
Add
|
他の除外リストを作成します。
|
|
Remove
|
選択したリストを削除します。
|
|
Add Notes
|
将来の参考用にこのリストのメモをアタッチします。
|
Exclusion Subscribers
このタブを使用して、除外リストにアプリケーションを追加します。
1. 左側のペインで、「Exclusions」ノードから「Exclusion list」を選択します。
2. タブの下部の「Add」をクリックします。
3. 「Select Application」画面で、リストに追加するアプリケーションを選択します。複数の選択を追加するには、[Shift]または[Ctrl]を押しながらマウスをクリックします。
4. 「OK」をクリックします。選択したアプリケーションがこのタブのウィンドウに表示されます。
Excluded Usernames
このタブを使用して、除外リストにユーザーを追加します。
1. 左側のペインで、「Exclusions」ノードから「Exclusion list」を選択します。
2. タブの下部の「Add」をクリックします。
3. 「Excluded Usernames」画面で、リストに追加するユーザーを選択します。複数の選択を追加するには、[Shift]または[Ctrl]を押しながらマウスをクリックします。
4. 「OK」をクリックします。選択したユーザーがこのタブのウィンドウに表示されます。
ユーザー・データの格納
Logon Managerでは、...\Application Data\Passlogixフォルダにユーザー資格証明がローカルに保存されます。 グローバル・エージェント設定は、ローカル・マシン・レジストリ・キー(HKLM)に保存され、ユーザーが変更した設定は、現在のユーザー・レジストリ・キー(HKCU)に保存されます。
Logon Managerでは、ファイル(.bkv)への資格証明および設定の完全バックアップも実行できます。バックアップは、ユーザーによって手動で、または管理構成によって自動的に実行できます。この機能の詳細は、「ファイルベースのバックアップ/リストア」を参照してください。
さらに、Logon Managerでは、各ユーザー資格証明をファイル・システム、データベース、ディレクトリ・サーバーなどのリモート・ソースと同期化することもできます。これらのリモート・ソースでは、エージェントにアプリケーション・ログオン、はじめて使用する場合の(設定)情報および管理オーバーライド(グローバル・エージェント設定)を指定できます。この機能の詳細は、「同期」を参照してください。
ユーザー・オブジェクトへの資格証明の保存(Active Directoryのみ)
Active Directoryのインストール時に、標準のvgoconfigコンテナではなく、ユーザー・オブジェクトの下にユーザー・データを保存するようにLogon Managerを構成できます。この操作を行うには、次の手順に従います。
1. (「Repository」メニューの)「Enable Storing Credentials under User Object」コマンドを使用して、ユーザー資格証明コンテナがユーザー・オブジェクトの子として許可されるようにディレクトリ・スキーマを更新します。また、このコマンドによって、資格証明コンテナを作成する権限をユーザーに付与するように、ルート・ディレクトリのセキュリティ設定が変更されます。
2. 次のいずれかを実行します:
・ (「Add Locator Object」ダイアログ・ボックスで)「Store data under the user objects」オプションを選択して、ユーザー・オブジェクトを指すvgolocatorオブジェクト(このロケータを使用するすべてのユーザー、または識別名で特定されるユーザーの場合はデフォルト)を作成します。
・ (「Active Directory」設定で)「Location for storing user credentials」エージェント設定を使用し、vgolocatorオブジェクトを無視して、常にユーザー・オブジェクトの下に資格証明を保存するようにエージェントを構成します。
ファイルベースのバックアップ/リストア
バックアップ/リストア・モジュールがインストールされている場合は、Oracle Enterprise Single Sign-On Administrative Consoleを使用して、ユーザー資格証明および設定の別の場所への完全バックアップ、およびその場所からの完全リストアを実行できます。 バックアップ/リストアは、(ユーザーによって)手動で、または(管理構成によって)自動的に実行できます。また、選択可能なバックアップ/リストア(古い情報の上に新しい情報を書き込む)も、(管理構成によって)自動的に実行できます。
|
|
バックアップ/リストア・モジュールがインストールされている場合、ユーザーは手動バックアップ、任意の場所(フロッピー・ドライブでも可)への保存および任意のパスワード(1文字のパスワードでも可)の選択を実行できます。
|
自動バックアップ
ユーザー資格証明および設定の完全バックアップを実行するように、エージェントを構成できます。 このバックアップは、コマンドラインから(したがって、atまたはtimedジョブから)、または特定のエージェント・イベント(起動タスク、リフレッシュ・タスクなど)を構成することによってトリガーできます。
コマンドライン自動バックアップ
コマンドライン自動バックアップをトリガーするには、次の構文を使用してコマンドラインからエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。
|
ssoshell.exe /mobility /backup [path] /silent
&それぞれの意味は次のとおりです。&
|
|
[path]
|
バックアップ・ファイルが保存されているディレクトリへの実際のパスです。デフォルトは、最後にコマンドライン・バックアップ・ファイルが保存されたディレクトリ、または 「Default Backup path」(End-User Experience\Environmentの下)が指すディレクトリです。
|
|
`
|
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。
|
\\FS\Backup\Privateのネットワーク共有への完全なサイレント・バックアップを実行する場合
|
ssoshell.exe /mobility /backup "\FS1\Backup\Private" /silent
|
最後に使用された場所、または「Default Backup path」(End-User Experience\Environmentの下)が指す場所にバックアップする場合
|
ssoshell.exe /mobility /backup /silent
|
イベント・ドリブン自動バックアップ
特定のエージェント・イベント時に自動バックアップを実行するようにエージェントを構成するには、目的のバックアップを実行するために必要なコマンドライン文字列を指定します。次に、適切なタスクを設定します。たとえば、資格証明が変更されるたびにバックアップを実行するには、(End-User Experience\Advanced\Special Tasksにある)「When logons change」を実行するタスクをコマンドライン文字列に設定します。
強制リストア
ユーザー資格証明および設定の完全リストアを実行して既存のデータを置き換えるように、エージェントを構成できます。このリストアは、コマンドラインから(リモートrunコマンドを使用)、または特定のエージェント・イベント(起動タスクなど)を構成することによってトリガーできます。
コマンドライン強制リストア
コマンドライン自動バックアップをトリガーするには、次の構文を使用してコマンドラインからエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。
|
ssoshell.exe /mobility /restore [path] /silent
&それぞれの意味は次のとおりです。&
|
|
[path]
|
バックアップ・ファイルが保存されているディレクトリへのパス。 デフォルトは、最後にコマンドライン・バックアップ・ファイルが保存されたディレクトリ、または「Default Backup path」(End-User Experience\Environmentの下)が指すディレクトリです。
|
|
/silent
|
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。
|
|
|
\\FS\Backup\Privateのネットワーク共有からの完全なサイレント・リストアを実行する場合
|
|
ssoshell.exe /mobility /restore "\FS1\Backup\Private" /silent
|
最後に使用された場所、または「Default Backup path」(End-User Experience\Environmentの下)が指す場所からリストアする場合
|
ssoshell.exe /mobility /restore /silent
|
イベント・ドリブン強制リストア
Managing Templates
このダイアログ・ボックスは、アプリケーション・ログオンのテンプレートを作成、変更および削除する場合に使用します。このダイアログ・ボックスを表示するには、「Tools」メニューの「Manage Templates」をクリックします。
|
|
テンプレートを作成する場合は、完全なテンプレート名が別のテンプレート名の最初の部分と厳密に一致しないことを確認してください。片方の名前がもう一方の名前の一部になっている2つのテンプレートをエージェントが見つけた場合、エージェントは名前の短い方のテンプレートを認識します。
たとえば、2つのテンプレートがABCとABDという名前の場合、この問題は発生しません。ただし、1つのテンプレートがABCという名前で、さらにABC_Dという名前のテンプレートが存在する場合は、どちらのアプリケーションが開いているかにかかわらず、エージェントはABCテンプレートのみを認識し、ABC_Dテンプレートを無視します。
|
アプリケーションからの新しいテンプレートの作成
1. 「Add」をクリックして、アプリケーション・ログオンから新しいテンプレートを作成します。
2. 「Select Applications」ダイアログ・ボックスで、テンプレートの基礎とするアプリケーションを選択します。
3. 「OK」をクリックします。「Edit Template」ダイアログ・ボックスで、管理者が指定する必要がある設定、およびテンプレートのオーバーライド設定を指定します。
既存のテンプレートの変更
・ リストからアプリケーションを選択し、「Edit」をクリックします。「Edit Template」ダイアログ・ボックスで、管理者が指定する必要がある設定、およびテンプレートのオーバーライド設定を変更します。
テンプレートの削除
・ リストからアプリケーションを選択し、「Remove」をクリックします。
アプリケーション・テンプレートの追加
Logon Managerは、様々なログオン・シナリオを認識し、応答します。 事前に、またはシナリオが発生したときに、ユーザーは各ログオンを構成できます。 ユーザーがログオンを構成するときに、エージェントによって事前定義されたアプリケーションのリストが表示されます。ユーザーは、このリストからアプリケーションを選択したり、リストにないアプリケーション用にログオンを作成できます。
事前定義されたアプリケーションによって、ユーザーの構成が容易になり、ログオンおよびパスワード変更のリクエストの認識と応答の両方の信頼性が高くなります。
多数の一般的なWindowsアプリケーション用に事前構成されたアプリケーション・ログオンは、ログオンの構成のすべてまたは一部を含むテンプレートの形式でOracle Enterprise Single Sign-On Administrative Consoleに含まれています。(Plugin\LogonMgrディレクトリのインストール・ディレクトリにある) applist.iniファイルには、ネットワークおよびWebポップアップ・ログオン・ダイアログ・ボックス用、および多数のオンライン・サービス・プロバイダ用に事前定義されたログオンが含まれています。
テンプレートの追加
1. Oracle Enterprise Single Sign-On Administrative Consoleの構成機能を使用して、アプリケーション・ログオンを作成します(次の関連項目を参照)。
2. INIファイルまたは対応する同期オブジェクトとして、entlistを作成およびデプロイします。
・ 「Export to INI file」を使用して、entlist.iniファイルを作成します。
・ 「Publish to Repository」を使用して、entlist同期オブジェクトを作成します。
3. 次のいずれかを実行します:
・ アプリケーション・ログオンのデプロイに同期を使用する場合は、「Location of entlist.ini file」設定を使用しないでください。シンクロナイザによって、ユーザーの%AppData%\Passlogixディレクトリでentlist.iniおよびftulist.iniが自動的に検索されます。
・ アプリケーション・ログオンのデプロイに同期を使用しない場合、End User Experience/Environmentの下にある「Location of entlist.ini file」設定を使用します。
|
|
管理者はentlist.iniを作成する必要があります。エージェントでは自動的に作成されません。
|
アプリケーション構成ファイルの理解
Logon Managerでは、通常は各ユーザーの %AppData%\Passlogixディレクトリ(C:\Documents and Settings\username \Application Data\Passlogixなど)に格納されているaelist.iniという名前のファイルで、アプリケーション・ログオンの指示が保存されます。エージェントによって、次の2つのコンポーネント・ファイルをマージして、aelist.iniファイルが作成されます。
・ entlist.ini: Windows、Webサイトおよびメインフレーム/ホスト・アプリケーション用にカスタマイズされたログオンを組織に導入するために、Oracle Enterprise Single Sign-On Administrative Consoleを使用して作成します。エージェントのシンクロナイザ拡張によって、%AppData%\Passlogixにentlist.iniが配置されます。
・ applist.ini: エージェントのインストール・パッケージに含まれ、ネットワークおよびWebポップアップ・ログオン・ダイアログ用、および多数のオンライン・サービス・プロバイダ用に事前定義されたログオンが含まれます。applist.iniファイルは、エージェントのインストール・ディレクトリに格納されています。
エージェントでのentlist.iniの使用方法
%AppData%\Passlogixディレクトリにaelist.iniを作成するために、エージェントによってentlist.iniとapplist.iniがマージされます。エージェントでは、定期的(エージェントの起動時など)にaelist.iniが上書きされます。 その後、エージェントはaelist.iniを使用して、既知のアプリケーションを検出します。
シンクロナイザ拡張(ディレクトリ・サーバーやファイル・システムなど)を使用する場合は、リモート・オブジェクトによって任意のローカルentlist.iniファイルが上書きされ、その後にapplist.iniとマージされます。
リモート・オブジェクトまたはローカルentlist.iniファイルがない場合、エージェントではaelist.iniファイルは作成されずにapplist.iniが使用されます。
|
|
エージェントが動作している間は、entlist.iniまたはSSOentlistオブジェクトを変更できます。 新規aelist.iniを作成するためにエージェントで再度マージを強制的に実行するには、Logon Managerで「Refresh」を選択します。
|
アプリケーション・ログオンの作成および配布の詳細は、次の項を参照してください。
・ テンプレートからのログオンの作成:
・ Windowsアプリケーションの追加
・ Webアプリケーションの追加
・ ホスト/メインフレーム・アプリケーションの追加
・ 「Add Application」ダイアログ・ボックス
・ ログオンの配布
・ アプリケーション・テンプレートの構成
・ 管理
プログラムで提供されるテンプレートのリストは、事前構成されたアプリケーションおよびテンプレートを参照してください。グローバル・エージェント設定のオプションの詳細は、「グローバル・エージェント設定でのエージェントの構成」を参照してください。
エージェントでのaelist.iniの使用方法
マージャから生成されたファイルaelist.iniには、すべての構成済アプリケーションに対するログオンおよびパスワード変更のイベントの識別や応答に必要な情報がすべて含まれています。次の情報が含まれます。
・ 「Error Loop」設定などのアプリケーション・タイプの設定(指定された期間内にエージェントがログオンを再試行する回数など)
・ アプリケーション固有の構成情報(アプリケーション実行可能ファイル名またはWebサイトのURL、「Password Policies」パスワード変更の動作、「Error Loop」設定、データファイル拡張など)
・ ログオンおよびパスワード変更のシナリオに関するシナリオ固有の構成情報(ウィンドウ・ダイアログのタイトル文字列、フォーム名、資格証明の場所など)
・ ダイアログ固有のマッチング設定(文字列や制御が存在するかどうかなど)
・ その他の設定(3番目または4番目のフィールドの名前など)
マージされたファイルaelist.iniには、構成する各アプリケーションのログオンおよびパスワード変更のイベントを一意に識別し、それに応答するために必要な情報がすべて含まれている階層構造があります。ログオンは、次のように構成されています。
|
[*Other Apps]
Section1=Application logon 1
Section2=Application logon 2
|
このセクションは、管理者が定義した2つのWindowsアプリケーションを参照します(このアプリケーションは、ファイルの後半で定義されます)。詳細は、「Windowsアプリケーションの追加」を参照してください。
|
|
[*Mainframe]
Section1=Host logon 1
Section2=Host logon 2
&
|
このセクションは、2つのホスト/メインフレーム・アプリケーションを参照します(このアプリケーションは、ファイルの後半で定義されます)。詳細は、メインフレーム・アプリケーションの追加に関する項を参照してください。
|
|
[*Shared Groups]
Section1=Shared Group 1
Section2=Shared Group 2
&
SectionN=Shared Group N
&
|
このセクションは、資格証明の共有に使用される2つのグループを参照します。詳細は、「資格証明共有グループの作成」を参照してください。
|
|
[*PasswordPolicies]
&
|
このセクションは、パスワード・ポリシーを有効にします。詳細は、「パスワード・ポリシーの設定」を参照してください。
|
entlist.iniのアプリケーション構成を使用すると、エージェントは、組織に固有のアプリケーションからのログオンおよびパスワード変更のリクエストを自動的に認識および応答できます。
これがローカル・ファイルとして存在するか、またはリモート・オブジェクトからダウンロードされる場合、エージェントは、entlistオブジェクト(使用可能な場合)をentlist.iniファイルにダウンロードし、ダウンロードしたentlist.iniファイルまたはローカルのentlist.iniファイルをapplist.ini (ユーザーが使用できる事前定義されたアプリケーションの完全リスト)に指定されたファイルと結合して、aelist.iniを作成します。 (entlist.iniファイルが存在しない場合、エージェントはapplist.iniを使用します。)
|
|
Oracleによってapplist.iniが更新されるため、applist.iniを変更しないでください。今後のLogon Managerのリリースでは、applist.iniの変更は上書きされる可能性があるため、今後のリリースでapplist.iniへの変更がサポートされる保証はありません。
|
アプリケーションの設定に関する一般的なガイドライン
アプリケーションの設定および構成を最も簡単に実行できるのは次の場合です。
・ Oracle Enterprise Single Sign-On Administrative Consoleと同じワークステーションにターゲット・アプリケーションがある場合。
・ 構成中に動作している他のアプリケーション数が最小限の場合。
・ アプリケーション構成の作成およびテストを容易にするには、次の手順を実行します。
o ワークステーションがシンクロナイザ拡張を使用しないように構成します。
o アプリケーション・ログオン・リクエストによって、エージェントが応答する場合、エージェントがそれを無視するように設定します。
o Oracle Enterprise Single Sign-On Administrative Consoleで、アプリケーション構成を作成し、「Export Apps to Agent」 (「Tools」メニューにある)を使用して、ローカルのentlist.iniファイルを上書きします。
o Logon Managerを表示したままにして、Oracle Enterprise Single Sign-On Administrative Consoleからのエクスポートが完了するたびに「Refresh」を選択します。
o アプリケーション・ログオン・ダイアログ・ボックスを起動し、新しい構成がエージェントで適切に機能しているかどうかを確認します。
Windowsアプリケーションの追加
Windowsアプリケーションを構成する最も簡単で適切な方法は、「Windows Form」ウィザードを使用することです。
Windowsログオンの構成を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
特殊な問題および設定
Windowsアプリケーションは、通常とは異なる方法で動作したり、特殊な要件がある場合があります。このようなシナリオに対応するために、Oracle Enterprise Single Sign-On Administrative Consoleでは次の追加構成オプションが提供されています。
特殊な構成の設定
|
「Fields」タブ(新規または選択したログオン・フォーム用)
|
|
SendKeys
|
次のようなWindowsアプリケーションには「SendKeys」オプションを使用します。
・ Windowsメッセージ・キューから、または通常エージェントによって資格認証の送信に使用されるその他の技術を使用して資格証明を受信できない
・ コントロールIDを持つ標準のWindowsコントロールを使用しない
・ コントロールを動的に生成するか、またはWindowsコントロールを使用しない(Flashアプリケーションなど)
|
|
「Miscellaneous」タブ(新規または選択したログオン・フォーム用)
|
|
Allowable Class
|
このログオンを実行するために必要なログオンまたはパスワード変更ウィンドウのクラスを識別するには、「Allowable Class」オプションを使用します。 この機能は、標準的でないクラス名がログオン・ウィンドウまたはパスワード変更ウィンドウで使用されるアプリケーションで役に立ちます。
|
|
Ignore this Window Class
|
次のようなアプリケーションでは、「Ignore Window Class」オプションを使用します。
・ 非表示のログオンまたはパスワード変更のダイアログを使用するか、または
・ 重複するダイアログを示す。
|
|
Attach to window's Message Queue
|
資格証明の送信中にターゲット・ログオン・ウィンドウへのフォーカスを維持するには、「Attach to...」オプションを使用します。
|
|
Preset Focus
|
フィールドにデータを入力する前に、エージェントによってフィールドにフォーカスを設定するには、「Preset Focus」オプションを使用します。
|
|
「Miscellaneous」タブ(選択したアプリケーション用)
|
|
Service Logon
|
Windowsサービス(ユーザー領域ではなくシステム領域にあるサービス)として動作するアプリケーションをエージェントで検出するには、「Service Logon」オプションを選択します。
|
|
Third/Fourth Field Label
|
追加フィールドの表示にエージェントが使用するテキスト・ラベルを指定するには、これらのオプションを使用します。
|
|
File extension for Icon
|
ログオンと関連付けるWindowsファイル拡張子を指定するには、このオプションを使用します。これにより、エージェントがその拡張子にアイコンをマッピングします。
|
Webアプリケーションの追加
Logon Managerは、事前定義されたWebアプリケーション用のログオンとパスワード変更のリクエストを検出し、応答します。 Windowsおよびホスト/メインフレーム・アプリケーションと同様に、管理者はentlist.iniにセクションを追加して、Webアプリケーションを定義します。
エージェントは、WebページのHTMLコード内の指定された場所にあるデータの特定文字列を認識します。このデータは、Webサイトのログオンとパスワード変更の画面の検出方法、ユーザー資格証明を入力する場所およびこれらの資格証明の送信方法を示します。
Webアプリケーションを構成する最も簡単で適切な方法は、「Web Form」ウィザードを使用することです。この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
|
|
Webアプリケーションでは、同じページ、同じURL内の別のページまたは別のURLに、ログオンおよびパスワード変更のフォームを含めることができます。また、ログオンは、別のURLにある同じフォームまたは別のURLにある別のフォームに含めることもできます。
ユーザーのローカル・ストアにログオンがすでに含まれているサイトの構成を追加すると、そのユーザーの構成が新しい構成によって上書きされます。ユーザーは、このアプリケーション用の資格証明を再度入力する必要があります。
そのユーザーは、Logon Managerで古いログオンを引き続き参照できます。
|
ホスト/メインフレーム・アプリケーションの追加
Logon Managerでは、次のようなホスト・エミュレータを使用して、ホスト/メインフレーム・アプリケーションへのシングル・サインオン機能が実装されています。
・ HLLAPI (High-Level Language Application Programming Interface)を実装するか、または
・ ダイアログを表示できる組込みスクリプト言語を持つ。
ホスト・エミュレータを使用すると、エンド・ユーザーはWindowsワークステーションからメインフレーム、AS/400、OS/390、UNIXまたはその他のホスト・ベースのセッションに接続できます。Logon Managerは、特定の画面にあるデータの特定文字列を検索してターミナル画面を認識します。
Logon Managerでホスト・エミュレータを認識するには、Oracle Enterprise Single Sign-On Administrative Consoleの「Host/Mainframe Apps」ダイアログ・ボックスにある「MFEnable」を選択して、メインフレーム・サポートを有効にします。
すべてのホスト/メインフレーム・アプリケーションは、事前定義される必要があります。Logon Managerのエンド・ユーザーがホスト/メインフレーム・アプリケーションを定義することはできません。また、Logon Managerでホスト・エミュレータを認識するには、管理者がホスト・エミュレータ自体も構成する必要があります。いずれのホスト・エミュレータでも、他のホスト・エミュレータを使用して作成されたアプリケーション・ログオンを使用できます。 Logon Managerでサポートされているエミュレータの構成の詳細は、「ホスト・エミュレータの構成」を参照してください。
|
|
ログオンを作成する最も簡単な方法は、テキストを選択でき、選択した行および列の座標が表示されるホスト・エミュレータを使用することです。
HLLAPIはサポートされていないが、スクリプト言語は持っているエミュレータを構成する方法については、オラクル社に問い合せてください。
HLLAPIはサポートされていないが、スクリプト言語は持っているエミュレータを構成する方法については、オラクル社に問い合せてください。
|
HLLAPIを実装していないか、またはスクリプト言語を持っていないエミュレータの場合は、(ウィンドウ・タイトルでフォームが検出されるように、)ユーザー資格証明を指定するSendKeysを使用して、Windowsアプリケーションとしてホスト/メインフレーム・アプリケーションを構成できる場合もあります。詳細は、「Windowsアプリケーションの追加: 特殊な問題」を参照してください。
ホスト/メインフレーム・アプリケーションの追加
ホスト/メインフレーム・アプリケーションを構成する最も簡単で適切な方法は、「Host/Mainframe Form」ウィザードを使用することです。この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
ホスト/メインフレーム・アプリケーションの手動構成
次に、ホスト/メインフレーム・ログオンを手動で構成または変更する手順について説明します。詳細は、個々のダイアログおよびコントロールを参照してください。この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。オープン・アプリケーションのリストからアプリケーションを選択する手順の詳細は、ホストまたはメインフレーム・アプリケーション用のWindowsの選択に関する説明を参照してください。
1. アプリケーションを起動し、ホスト・エミュレータを構成します。詳細は、「ホスト・エミュレータの構成」を参照してください。
2. Oracle Enterprise Single Sign-On Administrative Consoleで、次のいずれかを実行します。
・ 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
または
・ 左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。右側のペインで、「General」タブをクリックします。
3. 「Host/Mainframe」フォーム構成ダイアログ・ボックスの「Identification」タブで次のようにします。
a. リストからログオン・フォームを選択し、「Edit」をクリックします。
b. このページが一意に識別できるように、1つ以上のテキスト・マッチング・キャプションを指定します。キャプションを特定するテキスト文字列、およびその開始行数と開始列数を指定します。
c. 資格証明について「Fields」を指定します。「Edit」(「Fields」の下)をクリックして、「SendKeys (Host/Mainframe)」ダイアログ・ボックスを表示します。フィールドごとに開始の行/列、および送信するキーストロークを指定します。
4. 資格証明フィールドを入力するたびに発生する一時停止を端末レスポンスに含める必要がある場合は、「Options」タブを選択して、「Delay Field」に一時停止するミリ秒数を入力します。
5. 追加のログオン画面ごとに前述の手順を繰り返します。
6. パスワード変更情報を追加するには、ターゲット・アプリケーションの「Password Change」タブおよびパスワード変更ダイアログで処理を繰り返します。
Javaアプリケーションおよびアプレットの追加
「Windows Form」ウィザードを使用すると、Javaアプリケーション・ログオンおよびJavaアプレット・ログオン(Webページ)を構成できます。通常、作成およびデプロイの手順は、JavaアプリケーションでもWindowsアプリケーションでも同じです。
Javaログオンの構成を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
|
|
エージェントでJavaアプリケーション・ログオンを検出および使用するには、Logon Managerをインストールする前に、Javaランタイム環境(JRE)をワークステーションにインストールする必要があります。Logon ManagerをインストールするときにJREが存在しない場合は、エージェントのJava Helperコンポーネントをインストールできません。
|
Telnetアプリケーションの追加
Logon Managerでは、メインフレーム/ホスト・エミュレータによって実装されているHLLAPI (High-Level Language Application Programming Interface)を使用したTelnetセッションがサポートされています。サポートされているエミュレータの最新のリストは、Oracle Enterprise Single Sign-On Suiteのリリース・ノートを参照してください。
通常、Telnetアプリケーション用のログオンを構成することは、ホスト/メインフレーム・アプリケーションの追加と基本的に同じですが、次のような例外があります。
・ 通常、ホスト・アプリケーションでは、一定の位置にテキスト・キャプションおよびデータ・フィールドが表示され、テキスト・マッチングおよび行/列の絶対座標を使用したログオン・フォームとして、Logon Managerで画面を検出できます。対照的に、Telnetアプリケーション(そのログオン画面も含む)は、スクロールするテキスト・ウィンドウで表示されます。Logon Managerでマッチングを行う(およびログオンを開始する)ためのテキスト・キャプションの画面位置は、カーソルに対して相対的な行番号(上に行くとマイナス、下に行くとプラス)および絶対的な列番号で設定する必要があります。次の例を参照してください。
・ キャプションの座標のいずれかまたは両方が不明の場合は、任意の行(および固定列)にあるテキストと一致する行の設定に対して、任意の列(およびカーソルに対して相対的な行)にあるテキストと一致する列の設定に対して、または画面上の任意の場所にあるテキストと一致する両方の設定に対してアスタリスク(*)を使用できます。
・ Telnetログオンに資格証明が指定されると、Logon Managerでは、フィールドのマッチング用の行および座標設定は無視されます。ただし、その設定はログオン構成に存在する必要があります。Telnetログオンのすべての資格証明フィールドには、行と列の両方の座標に対する値として1を使用します。
・ Telnetログオン資格証明が正しく入力されるために、Logon Managerでは、タイミングのロジックが有効になっています。(ホスト/メインフレーム・ログオン・フォームを構成する「Options」タブにある)「Delay Field」設定には、各アクションの間でエージェントが一時停止するタイミングをミリ秒単位で指定します。
Telnetアプリケーション・ログオンの追加
Telnetアプリケーションを構成する最も簡単で適切な方法は、「Host/Mainframe Form」ウィザードを使用することです。この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
Telnetアプリケーション・ログオンの手動構成
次に、Telnetログオンを手動で構成または変更する手順について説明します。詳細は、個々のダイアログおよびコントロールを参照してください。この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。
1. アプリケーションを起動し、ホスト・エミュレータを構成します。
2. Oracle Enterprise Single Sign-On Administrative Consoleで、次のいずれかを実行します。
・ 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
または
・ 左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。
3. 右側のペインで、「General」タブをクリックします。
4. リストからログオン・フォームを選択し、「Edit」をクリックします。
5. 「Host/Mainframe」フォーム構成ダイアログ・ボックスの「General」タブで、次のようにします。
a. このページが一意に識別できるように、1つ以上のテキスト・マッチング・キャプションを指定します。キャプションを特定するテキスト文字列、およびその開始行数と開始列数を指定します。
o 行番号は、現在のカーソル位置を基準とする必要があり、負の整数にすることができます。 次の例を参照してください。
o 列番号は絶対位置です。
o 行または列にワイルドカードとしてアスタリスク(*)を使用することもできます。
b. 資格証明について「Fields」を指定します。「Fields」の下で、「Edit」をクリックします。「SendKeys (Host/Mainframe)」ダイアログ・ボックスで、各フィールドを選択し、各フィールドの行および列を1に設定します。必要に応じて、各フィールド・エントリに従う必要がある追加のキーストロークを指定します。
6. 資格証明フィールドを入力するたびに発生する一時停止を端末レスポンスに含める必要がある場合は、「Options」タブを選択して、「Delay Field」に一時停止するミリ秒数を入力します。
7. 追加のログオン・フォームごとに前述の手順を繰り返します。
8. パスワード変更情報を追加するには、ターゲット・アプリケーションの「Password Change」タブおよびパスワード変更ダイアログで処理を繰り返します。
テキスト・マッチングの例
Telnetアプリケーションのテキストはスクロールするため、行の位置はカーソルの行(常に行1である)に対して相対的に設定する必要があります。したがって、カーソルの2行上にあるキャプション(「Welcome to VAX/VMS_V6.1」)の行座標は-2です。キャプション・テキストの開始の列は、絶対座標で設定され、この例では9です。
|
画面のテキスト列
|
|
|
123456789022345678903234567890123
|
|
行#
|
123456789012345678901234567890123
|
|
-4
|
|
|
-3
|
|
|
-2
|
Welcome_to_VAX/VMS_V6.1_
|
|
-1
|
|
|
1
|
Username: _
|
|
2
|
|
|
3
|
|
|
4
|
|
Logon Managerでこのサンプル画面を識別するには、これらのテキスト・マッチング条件を(「Text Matching」ダイアログ・ボックスを使用して)設定します。
|
一致1
|
|
Text
|
Welcome to VAX/VMS V6.1
|
|
Row
|
-2
|
|
Column
|
9
|
|
一致2
|
|
Text
|
Username:
|
|
Row
|
1
|
|
Column
|
1
|
初回使用(バルク追加)
はじめて製品をインストールした後、初回使用ウィザードでは、様々な項目を入力して設定プロセスを完了する必要があります。 複数のオーセンティケータがインストールされている場合、ユーザーは、「Primary Logon Method」を選択するように求められます。 また、Logon Managerによって、ユーザー・ストアに即時に移入するために、アプリケーションのユーザー名/IDおよびパスワードを入力すうように求められる場合もあります。
|
|
バルク追加を使用するには、「First-Time Use」を有効にする必要があります。
|
初回使用ウィザードの構成設定は、ftulist.iniファイルで指定されます。エンド・ユーザーは、既存のログオンに対する資格証明(ユーザー名/ID、パスワード、3番目のフィールド)を入力するように求められる場合もあります。初回使用時の構成と事前定義のログオンを組み合せると、インストール直後にシングル・サインオンを使用できます。または、アプリケーションを実行するたびにログオンを個々に構成することもできます。
|
|
すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、Oracle Enterprise Single Sign-On Administrative Consoleでのみ作成および編集できます。
|
バルク追加へのアプリケーションの指定
1. 左側のペインで「Applications」を選択してから、右側のペインで「Bulk Add」タブを選択します。
2. 「Add」をクリックします。
3. 「Select Applications」 ダイアログ・ボックスから、このグループに追加するアプリケーションを選択します。([Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。)
4. 「OK」をクリックします。
5. 「Date Stamp」をyyyymmdd形式(たとえば、2003年6月15日の場合は20030615)で入力または編集します。 この日付が、指定したエージェントが設定を完了した最終日付より後の場合は、新しいログオンを追加するための設定ウィザードが起動します。
バルク追加するようにログオンを有効にする手順
1. 左側のペインで、「Applications」を選択してから、アプリケーションを選択します。
2. 右側のペインで、「Bulk Add」タブをクリックします。
3. 「Enable Bulk-Add capability for this application」を選択します。
4. 確認のためにユーザーが1つ以上のフィールドを再入力する必要がある場合は、適切な「Confirm」設定を選択します。
テンプレートの作成および使用
多数の一般的なWindowsアプリケーション用に事前構成されたアプリケーション・ログオンは、テンプレートの形式でOracle Enterprise Single Sign-On Administrative Consoleに含まれています。
また、Oracle Enterprise Single Sign-On Administrative Consoleで作成したアプリケーション・ログオンをテンプレートに変換することもできます。
テンプレートには、事前構成されたログオンを作成および管理する場合に、次の2つの実用的な利点があります。
・ テンプレートに基づいて新規ログオンを作成する場合、特定のログオン設定のグループをスタータ・セットとして保存、共有および再利用できます。テンプレートは、「Add Application」ダイアログ・ボックスにオプションとして表示されます。
・ テンプレートのソース・ログオンを変更する場合は、「Tools」メニューの「Update Applications」コマンドを使用すると、そのテンプレートに基づいてログオンへの変更を簡単に適用できます。
テンプレートを作成するには、次の手順を実行します。
・ 「Tools」メニューの「Manage Templates」ダイアログ・ボックスで、既存のアプリケーションを選択します。
・ 後で上書きできる(アプリケーションおよび各フォーム用の)ログオン設定を選択します。「Edit Template」ダイアログ・ボックスの「Overriding Settings」タブを使用します(「Manage Templates」ダイアログの「Edit」をクリックします)。WebおよびWindowsアプリケーションの場合は、(「Supply Info」タブで)ログオン構成を完了するためにテンプレート・ユーザーが入力する必要がある設定を選択することもできます。
・ Oracle Enterprise Single Sign-On Administrative Consoleのプログラム・ディレクトリ(通常は、C:\Program Files\Passlogix\SSO Administrative Console\Templates)にある「Templates」に、現行のファイルを保存します。
テンプレートを使用すると、「Add Application」ダイアログ・ボックスの「Applications」ドロップダウン・リストからログオンを選択して作成できます。 構成を完了するために追加情報が必要な場合には、プロンプトが表示されます。
元のテンプレートに対して行った変更でアプリケーション・ログオンを更新できます。アプリケーションが含まれているOracle Enterprise Single Sign-On Administrative ConsoleのXMLファイルを開き、「Tools」メニューから「Update Applications」コマンドを選択します。
Applications
アプリケーション構成情報を表示し、ログオン設定へのアクセスを提供します。
左側のペインで「Applications」をクリックすると、右側のペインに次のタブが表示されます。
・ 現時点で構成されているログオンを表示する「Application List」。
・ 「Bulk Add」(複数のログオン・デプロイメント)コントロール。
・ 左側のペインで「Applications」を右クリックすると、次のオプションが含まれるショートカット・メニューが表示されます。
Applications List
Logon Managerで使用するように構成されたログオンを持つアプリケーションのリストを表示します。
・ 新しいアプリケーションを追加するには、「Add」をクリックします。
・ リスト内のアプリケーションのログオン構成を変更するには、アプリケーションをクリックし、「Edit」をクリックします。
・ 1つ以上のログオン構成を削除するには、アプリケーションをクリックし(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします)、「Delete」をクリックします。
このタブを表示するには、次の手順を実行します。
1. 左側のペインで「Applications」をクリックし、右側のペインで「Applications List」タブをクリックします。
コントロールIDの選択
ConfigNameウィザードは、アプリケーション・ログオンの初期名として使用するログオン・ウィンドウのテキスト・コントロールを選択する場合に使用します。この機能は、ログオン・ウィンドウに表示されるログオンに可変テキスト項目(アカウント名など)付きの名前を付与します(ログオンがエージェントに追加されるときに付加されます)。
1. 使用するテキスト・コントロールを含むウィンドウを選択し、「Next」をクリックします。
2. ログオンの初期構成名として使用するテキスト項目が含まれているコントロールを選択します。「Finish」をクリックします。
コントロール(アプリケーション・ウィンドウ)
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に指定します。
|
|
Next
|
次のウィザード・ページに進みます。
|
コントロール(ConfigNameコントロール)
|
Control List
|
現在選択しているアプリケーション・ウィンドウのコントロールを表示します。ヘッダー(「Class」、「ID」または「Text」)をクリックすると、リストがソートされます。
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
フィールド・リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
「Add Application」ダイアログ・ボックス
「Add Application」ダイアログは、新しいアプリケーション・ログオンを構成する場合に使用します。最初からアプリケーション・ログオンを定義したり、一部またはすべてのログオン設定値が事前構成されている格納済のテンプレートを使用できます。
アプリケーションを追加するには、次の手順を実行します。
1. 新しいログオンの名前を入力します。
2. 「Application Type」で、次のいずれかを選択します。
・ Windows
・ Web
・ Host/Mainframe
3. 次のいずれかを実行します:
・ 「Application」ドロップダウン・リストからテンプレートを選択し、「Next」をクリックして、ログオンの完了に必要な追加情報を指定します。
・ 「Application」で「New [type] Application」を選択したままにして、「Finish」をクリックし、最初からログオンを作成します。
4. このアプリケーションがRSA (SecurID/SoftID)トークンによる認証を必要とする場合は、「RSA securID」チェック・ボックスを選択します。
5. 「Finish」をクリックします。
選択したアプリケーション・タイプのフォーム・ウィザードが起動します。詳細は、「「Windows Form」ウィザード」、「「Web Form」ウィザード」または「「Host/Mainframe Form」ウィザード」を参照してください。
1. 左側のペインで「Applications」を右クリックし、ショートカット・メニューからアプリケーション・タイプ(「Windows」、「Web」または「Host/Mainframe」)を選択します。
または
2. 「Applications List」で「Add」をクリックします。
Add Application from Template
このウィザード・ページは、アプリケーション・ログオン・テンプレートに用意されていないアプリケーション・ログオン構成設定を指定する場合に使用します。ログオンの完成に必要な設定には、左側のペインに赤いXのマークが付いています。
1. ダイアログ・ボックスの左側のペインで、赤いXのマークが付いたログオン設定項目をクリックします。右側のペインに、設定を指定するためのダイアログ・ボックスが表示されます。
2. 必要な設定を入力または選択します。設定が完了すると、赤いXが緑のチェックマークに置き換わります。
3. 「Finish」をクリックしてウィザードを閉じ、新しいアプリケーションを追加します。
このページを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ 左側のペインで「Applications」を右クリックし、ショートカット・メニューからアプリケーション・タイプ(「Windows」、「Web」または「Host/Mainframe」)を選択します。
または
・ 「Applications List」で「Add」をクリックします。
2. 「New Applications」ダイアログ・ボックスで、「Application」ドロップダウン・リストからテンプレートを選択し、「Next」をクリックします。
新しいWindowsまたはJavaアプリケーション・テンプレートの作成
新しいWindowsアプリケーション・テンプレートは、Oracle Enterprise Single Sign-On Administrative Consoleで「Applications」メニューまたは「Add Application」アイコンを使用して作成するか、開いているアプリケーションのウィンドウから直接作成できます。
Oracle Enterprise Single Sign-On Administrative Consoleを使用したテンプレートの作成
1. 左側のペインで、「Applicationsを右クリックし、ショートカット・メニューから「New Windows App」を選択します。「Add Application」ダイアログ・ボックスが、「Windows」オプションが選択された状態で表示されます。
2. 新しいログオンの「Name」を入力し、「OK」をクリックします。「Windows Form」ウィザード(新しいログオン・フォームの構成用)が表示されます。
または
1. 「Add Application」*アイコンをクリックします
(Oracle Enterprise Single Sign-On Administrative Consoleツールバー上)。
2. 「Select Window」画面からアプリケーションを選択します。「Windows Form」ウィザード(新しいログオン・フォームの構成用)が表示されます。
詳細は、「「Windows Form」ウィザード」を参照してください。
開いているアプリケーションを使用したテンプレートの作成
アプリケーションの実行中に、Windowsアプリケーションに対してオンザフライで新しいテンプレートを作成できます。
この手順を実行するには、Oracle Enterprise Single Sign-On Administrative ConsoleおよびLogon Manager Agentの両方が実行中である必要があり、タイトル・バー・ボタンを表示するようにエージェントの設定を構成する必要があります 
。
1. 作成するテンプレートの元になるアプリケーションを起動します。
2. そのアプリケーションのタイトル・バー・ボタン・メニューから「Create Template」*を選択します。
次の2つの状態が発生します。
・ アプリケーションのウィンドウで、Logon Managerが資格証明フィールドを検出して強調表示します。
・ 要約バージョンのフォーム・ウィザードが表示されます。次のフィールドの情報を入力します。
o 「Form Name」。 このフィールドには、選択したアプリケーションの名前が事前に入力されています。必要に応じて、そのままにすることも、変更することもできます。
o 「Form Type」。 ドロップダウン・メニューからフォーム・タイプを選択します。
Logon
Logon Success
Logon failure
Password change
Password change success
Password change failure
・ Add to Template。
このフィールドでは、デフォルトで「New Template」が選択されています。また、ドロップダウン・メニューには、このフォームを追加できるすべての構成済のWindowsアプリケーション・テンプレートリストが含まれています。
・ Edit Fields/Hide Details。
このボタンを切り替えると、ウィンドウを拡大してフォーム・ウィザード全体を表示するか、ウィンドウを縮小して簡易的なフォーム・ウィザードを表示することができます。
*このメニュー項目は、バージョン11.1.1.5.0から含まれています。
「Windows Form」ウィザード
「Windows Form」ウィザードでは、次のいずれかのタスクを実行します。
・ Windowsアプリケーションに対して、またはJavaアプレットおよびアプリケーションに対して新しいログオンを構成します。
・ 既存のログオンに新しいフォームを追加します。
・ 自動パスワード変更のフォームを作成します。
・ 別のウィンドウに表示されるパスワード確認フィールドをサポートするフォームを作成します。
・ パスワード変更の成功と失敗の自動検出用フォームを作成します。
「Windows Form」ウィザードでは、アプリケーション自体を使用して、そのフォーム、個々のフィールドおよび送信(OK)ボタンを識別できます。
この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。また、Windowsアプリケーション・ログオンの構成に固有の情報については、「Windowsアプリケーションの追加」を参照してください。
「Windows Form」ウィザードを表示するには、次のいずれかを実行します。
1. 新しいWindowsまたはJavaアプリケーション・ログオンを作成します。
または
1. 「Identification」タブで(Windows)、「Wizard」をクリックします。
フォームを構成するには、次の手順を実行します。
1. ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。Oracle Enterprise Single Sign-On Administrative Consoleとターゲット・アプリケーションのウィンドウの両方を、同時に表示できるように配置します。
2. フォーム・ウィザードで、構成するフォームのタイプを選択します。使用可能なオプションは、次のとおりです。
・ Logon。ログオン・フォームを構成します。
・ Logon success。 資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Logon failure。 資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログ・ボックスまたは「Retry Logon」ダイアログ・ボックスを表示して、ユーザーが資格証明を再入力できるようにします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Password change。 パスワード変更フォームを構成します。
・ Password confirmation.。 別ウィンドウに「Confirm password」フィールドを表示するアプリケーション用の新しいパスワード確認フォームを構成します。
・ Password change success。 ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ Password change failure。 ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
3. 「Application Window」リストで、構成するウィンドウを選択します。外枠が点滅しているのが、選択したアプリケーション・ウィンドウです。
4. 正しいウィンドウを選択していることを確認し、「Next」をクリックします。
5. 「Credential Fields」ページ・リストで、「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
・ Username/ID
・ Password (ログオン・フォームのみ)
・ Old Password (パスワード変更フォームのみ)
・ New password (パスワード変更フォームのみ)
・ Confirm new password (パスワード変更およびパスワード確認フォームのみ)
・ 「Submit」ボタン
6. ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
a. 構成するフィールド(ログオン・ウィンドウの「user ID」フィールドなど)を選択します。アプリケーションのウィンドウで外枠が点滅しているのが、現在の選択に対応したフィールドです。
b. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューからフィールド・タイプ(「UserID」など)を選択します。項目の左側に、対応するアイコンが表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
|
|
パスワード変更成功フォームは資格証明を取り込まないため、フィールドを構成する必要はありません。この場合、「Credential Fields」ページが表示されないため、手順8に進みます。
|
|
|
「Class」列および「Text」列でフィールドを確認できます。たとえば、テキスト・ボックスは「Class」に「Edit」と表示され、パスワード・フィールドは、通常、「Text」の値が「*** HIDDEN ***」となります。
|
7. ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
8. 必要なフィールドおよびボタンを構成したことを確認し、「Next」をクリックします。サマリー・ページが開き、構成内容が一覧表示されます。
9. 次のいずれかを実行します:
・ 「Back」をクリックして、前のページに戻り、必要な修正を行います。
・ 「Finish」をクリックして、ログオン構成を完了し、フォーム・ウィザードを閉じます。
「Application」ウィンドウ(「Windows Form」ウィザード)
フォーム・ウィザードのこのページは、アプリケーションのログオンまたはパスワード/PIN変更ウィンドウを選択する場合に使用します。
Windowsアプリケーションを構成する手順の詳細は、「「Windows Form」ウィザード」を参照してください。
コントロール
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
「Credential」フィールド(「Windows Form」ウィザード)
フォーム・ウィザードのこのページは、アプリケーションのログオンまたはパスワード変更ウィンドウのフィールドを選択する場合に使用します。
Windowsアプリケーションを構成する手順の詳細は、「「Windows Form」ウィザード」を参照してください。
|
Credential Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」または「Text」)をクリックすると、リストがソートされます。リスト内のフィールドを右クリックすると、フィールド・タイプのショートカット・メニューおよび送信コントロールが表示されます。
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
・ Confirm New Password
・ OK (送信コントロール)
|
|
Refresh
|
フィールド・リストを更新します。
|
|
Use "Send Keys" for this form, do not use Control IDs
|
エージェントが、コントロールIDによって個々のフィールドをアドレス指定するのではなく、キーストロークの組み合せとしてこのフォームにログオン・データを転送することを示します。詳細は、「SendKeys」を参照してください。
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Detect Fields
|
フィールド・リストをスキャンし、そのリストとフィールド・タイプの照合を試みます。 通常、「Detect Fields」は、一般的なアプリケーションで正確に機能しますが、フィールド・タイプが適切であるかどうかは確認する必要があります。
|
|
Refresh
|
フィールド・リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
サマリー
ウィザードの結果を表示します。次のいずれかを実行します。
・ 「Finish」をクリックして、設定を保存し、ウィザードを閉じます。
または
・ 「Back」をクリックして、前のページに戻り、設定を変更します。
「Windows Form」ウィザード(RSA SecurIDアプリケーション用)
「Windows Form」ウィザードでは、次のいずれかのタスクを実行します。
・ ・RSA SecurID Windowsアプリケーション用の新しいログオンを構成します。
・ 既存のRSA SecurIDログオンに新しいフォームを追加します。
・ 自動PIN変更のフォームを作成します。
・ 別ウィンドウに表示されるPIN確認フィールドをサポートするためのフォームを作成します。
・ PIN変更の成功と失敗の自動検出用フォームを作成します。
「Windows Form」ウィザードでは、アプリケーション自体を使用して、そのフォーム、個々のフィールドおよび送信(OK)ボタンを識別できます。
この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。また、Windowsアプリケーション・ログオンの構成に固有の情報については、「Windowsアプリケーションの追加」を参照してください。
「Windows Form」ウィザードを表示するには、次のいずれかを実行します。
1. 新しいWindowsまたはJavaアプリケーション・ログオンを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。
または
1. 「Identification」タブで(Windowsフォームの場合)、「Wizard」をクリックします。
フォームを構成するには、次の手順を実行します。
1. ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。Oracle Enterprise Single Sign-On Administrative Consoleとターゲット・アプリケーションのウィンドウの両方を、同時に表示できるように配置します。
2. フォーム・ウィザードで、構成するフォームのタイプを選択します。使用可能なオプションは、次のとおりです。
・ SecurID Logon。 SecurIDlogonフォームを構成します。
・ PIN Change。 PIN変更フォームを構成します。
・ Confirm PIN。 別ウィンドウに「Confirm PIN」フィールドを表示するアプリケーション用の新しいPIN確認フォームを構成します。
・ Logon Success。 ターゲット・アプリケーションのログオン成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。ログオン成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ Logon Failure。 ターゲット・アプリケーションのログオン失敗メッセージに対応するフォームで、ログオン失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
・ PIN Change Success。 ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ PIN Change Failure。 ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
3. 「Application Window」リストで、構成するウィンドウを選択します。外枠が点滅しているのが、選択したアプリケーション・ウィンドウです。
4. 正しいウィンドウを選択していることを確認し、「Next」をクリックします。
5. 「Credential」フィールド・ページで、各資格証明フィールドに対して次の手順を実行します。
a. 構成するフィールド(ログオン・ウィンドウの「user ID」フィールドなど)を選択します。アプリケーションのウィンドウで外枠が点滅しているのが、現在の選択に対応したフィールドです。
b. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューからログオン・フィールド・タイプ(「UserID」など)を選択します。項目の左側に、対応するアイコンが表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
|
|
新規PIN承認フォームは資格証明を取り込まないため、フィールドを構成する必要はありません。この場合、「Credential Fields」ページが表示されないため、手順7に進みます。
|
|
|
「Class」列および「Text」列でフィールドを確認できます。たとえば、テキスト・ボックスは「Class」に「Edit」と表示され、PINフィールドは、通常、「Text」の値が「*** HIDDEN ***」となります。
|
6. ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
7. 必要なフィールドおよびボタンを構成したことを確認し、「Next」をクリックします。サマリー・ページが開き、構成内容が一覧表示されます。
8. 次のいずれかを実行します:
・ 「Back」をクリックして、前のページに戻り、必要な修正を行います。
・ 「Finish」をクリックして、ログオン構成を完了し、フォーム・ウィザードを閉じます。
「Identification」タブ(Windowsアプリケーションの構成用)
「Identification」(Windows)タブは、Windowsアプリケーション・ログオン構成に関するプログラム情報およびウィンドウ情報を変更する場合に使用します。
・ 「AppPathKeys」および「Window Titles」リスト内のエントリを追加、編集または削除して、手動でログオンを構成します。
・ 「Windows Form」ウィザードを使用して、ポイントおよびクリックによってウィンドウ、タイトルおよびフィールドを定義します。
このタブを表示するには、次のいずれかを実行します。
1. 新しいWindowsアプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
2. 右側のペインで、「General」タブをクリックします。
3. リストからログオン・フォームを選択し、「Edit」をクリックします。
「Windows」フォーム構成ダイアログが開き、「General」タブが表示されます。
コントロール
|
Form name
|
アプリケーション・ログオン・フォームの名前。
|
|
AppPathKeys
|
実行中のプロセスと照合するためにこのログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、Eudora.exeなど、アプリケーション実行可能ファイルの名前。)
|
|
Window Titles
|
ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。 「Choose」をクリックして、現在実行中のアプリケーション・ウィンドウからタイトルを選択します。
|
|
Disabled
|
このWindowsテンプレートを無効にする場合に選択します。これをソート順序機能とともに使用して、特定のWebポップアップを無効にできます。
この機能は、正規表現またはワイルド・カードを使用して定義された多数のウィンドウ・タイトルがアプリケーションに含まれるにもかかわらず、それらのウィンドウ・タイトルの中で、応答されるものが少数である場合に役に立ちます。管理者は、応答する多数のテンプレートを作成するかわりに、(正規表現またはワイルドカードを使用して)一致するウィンドウ・タイトルを定義した後で、一致していないウィンドウ・タイトル用に無効にしたテンプレートを作成して、それらのウィンドウ・タイトルを除外できます。
|
|
Wizard
|
「Windows Form」ウィザードを起動して、視覚的にアプリケーションを構成します。
|
「Windows Form」ウィザードを使用してアプリケーションを構成する手順
・ 「Wizard」をクリックします。
アプリケーションを手動で構成する手順
1. アプリケーションの名前を入力します。
2. 「AppPathkey」グループで、「Add」をクリックします。
3. 「Add AppPathKey」ダイアログ・ボックスで、有効なアプリケーション・キー(通常は、Eudora.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
4. 「Window Titles」グループで、「Add」をクリックし、ウィンドウ・タイトルを入力するか、または「Choose」をクリックして「Select Window」ダイアログ・ボックスを開き、現在実行中のアプリケーション・ウィンドウからタイトルを選択できます。
5. 「OK」をクリックします。
ウィンドウ・タイトルの選択
「Select Window」ダイアログは、アプリケーションのログオンまたはパスワード変更ウィンドウのタイトルを選択する場合に使用します。
・ ログオンまたはパスワード変更ウィンドウを選択し、「OK」をクリックします。
コントロール
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
「Fields」タブ(Windowsアプリケーションの構成用)
「Fields」(Windows)タブは、エージェントがログオン・フォームのフィールドとどのようにやり取りするかを定義する場合に使用します。現在選択しているアプリケーション・フォームに対して、次のいずれかを識別できます。
・ 最大4つのログオン・フィールド(ユーザーIDやパスワードなど)で、コントロールIDを使用します。
・ ログオン・フォームに値を代入して送信するキーストロークの組合せ(オプションで時間も送信可能)で、 SendKeysを使用します。
このタブを表示するには、次のいずれかを実行します。
1. 新しいWindowsアプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
2. 右側のペインで、「General」タブを選択します。
3. リストからログオン・フォームを選択し、「Edit」をクリックします。
4. 「Windows」フォーム構成ダイアログ・ボックスの「General」タブで、「Fields」タブをクリックします。
コントロール
|
Transfer Method
(1つ選択)
|
Control ID: 標準のWindowsコントロールIDを使用して、資格証明を識別し、フィールドに転送します。フィールドを追加し、そのコントロールIDを入力するには「Add」をクリックし、既存のフィールド設定を変更するには「Edit」をクリックします。
SendKeys: キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
SendKeys using Journal Hook: ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
|
|
Fields
|
このログオン・フォーム用に構成された転送方法があるフィールド。次のことが可能です。
・ フィールドを選択し、「Edit」をクリックして、「Control ID」、「SendKeys」または「SendKeys using Journal Hook」設定を変更します。
・ 「Add」をクリックしてフィールドを追加します(「Control ID」のみ)
|
ControlID
「Control ID」ダイアログ・ボックスは、Logon Managerの応答を構成するために、ログオン・フォームのフィールドおよび送信ボタンを識別する場合に使用します。
コントロール
|
コントロール
|
|
Field
|
コントロールによって表される資格証明データを選択するか、またはそのコントロールを送信(OK)ボタンであると指定します。
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
・ OK (送信コントロール)
|
|
Control ID
|
選択したフィールドまたはボタンのコントロールIDを入力します。
|
|
Skip field if control is disabled
|
このオプションを選択すると、選択したフィールドがユーザー・エントリを受け入れないように設定されている場合に、エージェントがデータを入力できなくなります。
|
このダイアログ・ボックスを表示するには、次のいずれかを実行します。
1. 新しいWindowsアプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」を選択し、Windowsアプリケーションを選択します。
2. 右側のペインで、「General」タブを選択します。
3. 次のいずれかを実行します:
・ リストからログオン・フォームを選択し、「Edit」をクリックします。
または
・ 「Add」をクリックして、新しいフォームを構成します。
2. 「Windows」フォーム構成ダイアログ・ボックスの「General」タブで、次のいずれかを実行します。
・ 「Fields」タブをクリックし、「Transfer Method」として「Control IDs」を選択し、「Edit」をクリックします。
または
・ 「Matching」タブをクリックし、「Add」をクリックし、「Control ID」をクリックします。
Windowsアプリケーション・ログオンのSendKeys
「SendKeys」ダイアログ・ボックスは、Logon Managerがログオン・フォームに転送するキーストロークの組合せを指定する場合に使用します。
次のようなWindowsアプリケーションには「SendKeys」オプションを使用します。
・ Windowsメッセージ・キューから、または通常エージェントによって資格認証の送信に使用されるその他の技術を使用して資格証明を受信できない。
・ コントロールIDを持つ標準のWindowsコントロールを使用しない。
・ コントロールを動的に生成するか、またはWindowsコントロールを使用しない(Flashアプリケーションなど)
「SendKeys」ダイアログ・ボックスの右側のペインの「New Actions」リスト・ボックスには、アクションごとのキーストローク・オプションが用意されています。SendKeysを構成するアクションを選択し、アクションごとに必要なオプションを選択または入力します。「Insert」ボタンをクリックして、キーストロークの組合せにキーまたはアクションを追加します。
|
|
東アジア言語のアプリケーションの場合: 東アジア言語(中国語、日本語、韓国語)アプリケーションのテンプレートにSendKeysを使用して情報を追加する場合、[Tab]キーを押して次のフィールドに進む前に、[Enter]キーを押す必要があります。[Enter]キーを押すことは、フィールドへの入力が完了したことをインプット・メソッド・エディタに知らせ、IMEによる資格証明フィールドの識別を可能にします。
東アジア言語用のジャーナル・フックSendKeysは、Logon Managerと互換性がありません。
|
左側のペインの「Current Actions」リストに、選択内容が表示されます。
・ キーストロークの組合せの順序を変更するには、項目を選択し、上矢印または下矢印をクリックしてその項目を移動します。
・ 項目を削除するには、その項目を選択し、「Delete」をクリックします。
・ 項目を編集するには、項目を選択してから「Edit」をクリックします。「Edit Action」ダイアログが開きます。必要に応じてフィールドを編集し、「OK」をクリックします。
コントロール
|
新しいアクション
|
コントロール
|
説明
|
|
Fields
|
Field Type
|
キーストロークの組合せに追加する資格証明項目をリストから選択します。
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
・ Old Password
・ New Password
・ Confirm New Password
|
|
|
Character to insert after field
|
フィールドへの入力後に自動的に挿入するキーストロークを選択します。
・ None (キーストロークなし)
・ Enter (フォームを送信する場合)
・ Tab (カーソルを進める場合)
後述の「Special Keys」を参照してください。
|
|
|
Inject directly into control
|
コントロールに資格証明を直接挿入します。省略記号(…)ボタンをクリックして、「Choose Control ID」ダイアログ・ボックスを開きます。
|
|
SendKeysを使用する場合、アプリケーションはWindowsアプリケーションとみなされます。「Choose Control ID」ダイアログ・ボックスに表示されるコントロールは、Logon Managerが検索できるあらゆるWindowsコントロールを示します。
|
|
|
|
Insert
|
キーストロークの組合せに現在の選択内容を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Click
|
Click at a coordinate
|
指定されたX, Y座標でマウス・クリックをシミュレートします。
X: マウス・クリックのX座標を選択します。
Y: マウス・クリックのY座標を選択します。
Relative to the: マウス・クリックが基準とする場所を選択します。
・ Screen
・ Active Window
Mouse button: クリックされるマウスボタンを選択します。
・ Left
・ Middle
・ Right
|
|
|
Click on a control
|
このオプションは、指定した座標でのクリックと似ていますが、Logon Managerがコントロールの場所を把握し、コントロールの中心でクリックをシミュレートする点が異なります。「...」ボタンをクリックして、「Choose Control ID」ダイアログ・ボックスを開きます。
|
|
SendKeysを使用する場合、アプリケーションはWindowsアプリケーションとみなされます。「Choose Control ID」ダイアログ・ボックスに表示されるコントロールは、Logon Managerが検索できるあらゆるWindowsコントロールを示します。
|
|
|
|
Insert
|
キーストロークの組合せにクリックによる選択を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Run Task
|
Command line to run
|
実行するコマンドラインを入力します。この機能を使用すると、キーストロークの入力中にプログラムを実行できます。
・ ウィンドウ・ハンドルをコマンドラインに追加して、現在作業中のウィンドウ・ハンドルをスクリプトに通知できます。
$(HWND)
・ 環境変数もコマンドラインに追加できます。
$(USERDOMAIN)\$(USERNAME)
「...」ボタンをクリックして、「Choose Control ID」ダイアログ・ボックスを開きます。
|
|
仮想キー・コードをコマンドラインで使用することはできません(最初のバッククォート文字でコマンドラインが終了します)。
|
|
|
|
Expected return code
|
予想されるリターン・コードを入力します。この値が返されなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。
|
|
|
Time out (sec.)
|
タスクが完了するまで待機するミリ秒数を入力します。このタイムアウトに達しなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。最大のタイムアウト時間は5秒です。
|
|
|
Insert
|
キーストロークの組合せにタスクを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Delay
|
Length of delay (in seconds)
|
キーストローク間の遅延を入力または選択します。
|
|
|
Insert
|
キーストロークの組合せに遅延を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Set Focus
|
Set focus to control
|
コントロールにフォーカスを設定します。「...」ボタンをクリックして、「Choose Control ID」ダイアログ・ボックスを開きます。
|
|
|
Insert
|
キーストロークの組合せにフォーカスを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Text
|
Enter text to insert
|
キーストロークの組合せに追加するリテラル・テキストを入力します。
|
|
|
Insert
|
キーストロークの組合せにテキストを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Special Keys
|
Category/Keys
|
左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Page Down]など)を選択します。
|
|
|
Key Press
|
単一のキーストロークとしてキーを挿入します(デフォルト)。
|
|
|
Key Down/Up
|
キーを押して解放するという1組のアクションとしてキーを挿入します。このオプションを使用すると、これらのアクション間に他のキーストロークを挿入して、あるキーの入力時に1つ以上の別のキーを押したままにすることができます。たとえば、フォーカスを特定のテキスト・ボックスに移動するホット・キーの組合せを作成できます。
たとえば、キーストローク[Alt]+[P]を挿入するには、「Key Down/Up」オプションを選択し、カテゴリとして「Modifier」、キーとして「Alt」をそれぞれ選択し、「Insert」をクリックします。これにより、[Down:Alt]と[Up:Alt]の2つのアクションが挿入されます。
「Text」タブを選択し、テキスト・ボックスにPと入力します。 左側のペインで、「[Up:Alt]」を選択し、「Insert」をクリックします。Pが2つの[Alt]キー・アクションの間に挿入され、[Alt]+[P]が生成されます。
|
|
|
Insert
|
キーストロークの組合せにキーストロークを追加します。
|
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
a. 新しいWindowsアプリケーション・ログオンを作成します。
または
a. 左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
b. 右側のペインで、「General」タブをクリックします。
c. 次のいずれかを実行します。
・ リストからログオン・フォームを選択し、「Edit」をクリックします。
または
・ 「Add」をクリックして、新しいフォームを構成します。
「Windows」フォーム構成ダイアログが開き、「General」タブが表示されます。
2. 「Fields」タブをクリックし、「Transfer Method」として「SendKeys」を選択し、「Edit」をクリックします。
「Matching」ダイアログ・ボックス
このダイアログ・ボックスは、同じ資格証明データを使用する類似したターゲット・フォームをエージェントが区別するために一致基準を作成する場合に使用します。これにより、エージェントは、1組のユーザー資格証明をこのような複数のフォームに適切に適用できます。このダイアログ・ボックスを表示するには、「Matching」タブ(Windowsログオン・フォームの構成用)から、「Add」をクリックします。
一致基準を作成する最も簡単で効率的な方法は、「Control Match」ウィザードを使用することです。ウィザードを使用すると、ターゲット・フォーム自体から要素を選択して、一致基準を指定できます。また、手動で一致基準を作成および変更することもできます。
ウィザードを使用した一致基準の作成
・ 「Wizard」をクリックし、画面の指示に従います。
手動での一致基準の作成または変更
1. 「Match name」に一致名を入力し、ターゲット・フォームのタイプを選択します。
2. ターゲット・フォームに表示する「Window Titles」を追加または編集するか、あるいは「Use Titles from Main」を選択します。
3. 「Control Matching」の項目を追加または編集します。これらの項目は、フォーム・オブジェクトのプロパティ(テキスト・キャプションやコントロール・クラスなど)に基づく基準となります。また、これらの項目でターゲット・フォームを一意に識別できます。
4. ターゲット・フォームの資格証明フィールドの「Control IDs」を追加または編集します。
5. 「OK」をクリックします。
コントロール
|
Match Name
|
一致の名前を入力または編集します。
|
|
Type
|
照合するフォームのタイプを選択します。
・ Logon
・ Change Password
・ Confirm (Password)
・ Ignore
・ Logon Success
・ Logon Failure
・ Password Change Success
・ Password Change Failure
|
|
「Logon」、「Change Password」、「Confirm」および「Ignore」一致タイプとは異なり、これらの一致をユーザーが明示的に選択することはできません。これらは、フォーム・タイプで判別できます。
|
|
|
Windows Titles
|
「Use Titles from Main」をクリックして、このログインの「General」タブのウィンドウ・タイトルをコピーするか、「Add」をクリックして手動でタイトルを入力します。
|
|
Control Matching
|
「Add」をクリックして(または一致項目を選択して「Edit」をクリックして)、「Control Matching」ダイアログ・ボックスを表示します。
|
|
Control ID
|
「Add」をクリックして(またはコントロールID項目を選択して「Edit」をクリックして)、「Control ID」ダイアログ・ボックスを表示します。
|
|
Wizard
|
「Control Match」ウィザードを起動します。
|
ウィンドウ・タイトルの追加/編集
このダイアログ・ボックスは、エージェントがウィンドウ・タイトルで特定のアプリケーション・ウィンドウ(ログオン・エントリやパスワード変更など)を検出するために使用するテキスト文字列を追加または変更する場合に使用します。
照合するウィンドウ・タイトルの指定
1. 次のいずれかを選択します(後述の「表現の照合」を参照)。
・ Exact match
・ Use wildcards (Kiosk Managerには適用されません)
・ Use regular expression (Kiosk Managerには適用されません)
2. 「Window Title」または照合する表現を入力(または編集)します。
3. 「OK」をクリックします。
表現の照合
URLのテキストが変化するアプリケーションの場合は、部分文字列や正規表現を使用して、その可変テキストの照合方法を指定できます。
|
ワイルド・カード
|
・ ? (疑問符)は、任意の1文字と一致します。
・ * (アスタリスク)は、0個以上の任意の文字と一致します。
|
|
これは、Kiosk Managerには適用されません。
|
|
|
正規表現
|
正規表現のセットを使用して、エージェントが一致とみなす文字列パターンを指定できます。
|
|
これは、Kiosk Managerには適用されません。
|
|
環境変数の照合
URLに(ワークステーションのオペレーティング・システムのDOMAINUSER環境変数から取得するなどして)ユーザーの名前を使用しているアプリケーションの場合は、一致基準として「Exact」を選択し、一致文字列に次の置換トークンのいずれかを含めます。
|
%DOMAINUSER%
|
この環境変数から導出されるものと同じユーザー名
|
|
%UC%%DOMAINUSER%
|
すべて大文字に変換されたユーザー名
|
|
%LC%%DOMAINUSER%
|
すべて小文字に変換されたユーザー名
|
例
この「Window Title」エントリは、ユーザー名が含まれているパスワード変更ウィンドウのタイトルと一致します。
Control Matching
「Control Matching」ダイアログ・ボックスは、ターゲット・フォームのコントロールのプロパティ(テキスト・キャプションやコントロール・スタイルなど)に基づく一致基準を指定する場合に使用します。
コントロール
|
Control ID
|
コントロールの数値識別子を入力します。
|
|
Match Condition
|
コントロールのプロパティを1つ選択し、関係(「Equals」、「Not Equal」、「Equals regular expression」、「Not equals regular expression」)を選択し、一致させる(または一致させない)条件を入力または選択します。各プロパティの有効な条件は、次のとおりです。
|
|
Class
|
編集または静的コントロール。
|
|
Style
|
コントロールに適用される集約されたスタイルの10進数識別子。
|
|
Text
|
リテラル文字列。
|
「Control ID」ダイアログ・ボックス(「Windows Fields」タブ)
「Control ID」ダイアログ・ボックスは、エージェントの応答を構成するために、ログオン・フォームのフィールドおよび送信ボタンを識別する場合に使用します。
コントロール
|
Field
|
コントロールによって表される資格証明データを選択するか、またはそのコントロールを送信(OK)ボタンであると指定します。
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
・ OK (送信コントロール)
|
|
Control ID
|
フィールドまたはボタンのコントロールIDを入力します。
|
|
Control Type
|
コントロール・タイプを選択します。
・ Edit (テキスト・ボックス)
・ Combo (ドロップダウン・リスト・ボックス)
・ List
|
「Control Match」ウィザード
「Control Match」ウィザードは、一致基準をターゲット・アプリケーションのウィンドウおよびコントロールから選択して定義する場合に使用します。 エージェントは、一致基準を使用して現在選択しているログオンに類似したターゲット・フォーム(パスワード変更ダイアログなど)を識別します。エージェントは、元のログオンと同じ資格証明を使用して、一致したターゲット・フォームにデータを提供します。また、一致基準を使用すると、現在のログオンに類似しており、エージェントで無視する必要があるターゲット・フォームを指定することもできます。
一致基準を作成するウィザードの使用
1. ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。 Oracle Enterprise Single Sign-On Administrative Consoleとターゲット・アプリケーションのウィンドウを同時に参照できるように配置します。
2. フォームの「Match Type」を選択し、画面の指示またはヘルプ・トピックに従います。
・ Ignore
・ Logon
・ Password Change
・ Password Confirm
「Control Match」ウィザードを表示するには、次の手順を実行します。
1. 「Matching」タブの「Add」を選択します(Windowsログオン・フォームを構成する場合)。「Matching」ダイアログ・ボックスが表示されます。
2. 「Wizard」をクリックします。
Ignore App Window
このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。
1. エージェントで無視するアプリケーション・ウィンドウを「Window List」から選択します。
2. 「Next」をクリックして、「Match Fields」ページを表示します。
コントロール
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Ignore Match Fields
このウィザード・ページは、一致フィールドのセットを選択する場合に使用します(このセットとは、エージェントが認識する必要があるアプリケーション・ウィンドウを一意に識別する、1つ以上のウィンドウ・オブジェクトのことです)。 一致フィールドは、そのクラス(編集や静的などコントロールのタイプ)、スタイル(番号で識別されるプロパティの集約)またはテキストに基づいて識別できます。
1. フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
2. 「Next」をクリックして、「Summary」ページを表示します。
コントロール
|
Match Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、一致基準のショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ Class
・ Style
・ Text
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
ログオンのアプリケーション・ウィンドウ
このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。
1. エージェントでログオン・フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
2. 「Next」をクリックして、「Match Fields」ページを表示します。
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Logon Match Fields
このウィザード・ページは、一致フィールドのセットを選択する場合に使用します(このセットとは、エージェントが認識する必要があるアプリケーション・ウィンドウを一意に識別する、1つ以上のウィンドウ・オブジェクトのことです)。一致フィールドは、そのクラス(編集や静的などコントロールのタイプ)、スタイル(番号で識別されるプロパティの集約)またはテキストに基づいて識別できます。
1. フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
2. 「Next」をクリックして、「Credentials」ページを表示します。
コントロール
|
Match Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ Class
・ Style
・ Text
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Logon Credential
このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。
1. フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
2. 「Next」をクリックして、「Summary」 ページを表示します。
コントロール
|
Credential Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Password Change App Window
このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。
1. エージェントでパスワード変更フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
2. 「Next」をクリックして、「Match Fields」ページを表示します。
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Password Change Match Fields
このウィザード・ページは、一致フィールドのセットを選択する場合に使用します(このセットとは、エージェントが認識する必要があるアプリケーション・ウィンドウを一意に識別する、1つ以上のウィンドウ・オブジェクトのことです)。一致フィールドは、そのクラス(編集や静的などコントロールのタイプ)、スタイル(番号で識別されるプロパティの集約)またはテキストに基づいて識別できます。
1. フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
2. 「Next」をクリックして、「Credentials」ページを表示します。
コントロール
|
Match Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ Class
・ Style
・ Text
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Password Change Credential
このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。
1. フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
2. 「Next」をクリックして、「Summary」 ページを表示します。
コントロール
|
Credential Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ UserID
・ Old Password/PIN
・ New Password/PIN
・ Confirm Password/PIN
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
パスワード確認のアプリケーション・ウィンドウ
このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。
1. エージェントでパスワード確認フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
2. 「Next」をクリックして、「Match Fields」ページを表示します。
|
Window List
|
現在のアプリケーションのウィンドウを表示します。列ヘッダーをクリックすると、リストがソートされます。
|
|
Show hidden window
|
非表示のウィンドウを「Window List」に含める場合に選択します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
パスワード確認の一致フィールド
このウィザード・ページは、一致フィールドのセットを選択する場合に使用します(このセットとは、エージェントが認識する必要があるアプリケーション・ウィンドウを一意に識別する、1つ以上のウィンドウ・オブジェクトのことです)。 一致フィールドは、そのクラス(編集や静的などコントロールのタイプ)、スタイル(番号で識別されるプロパティの集約)またはテキストに基づいて識別できます。
1. フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
2. 「Next」をクリックして、「Credentials」ページを表示します。
コントロール
|
Match Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ Class
・ Style
・ Text
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
Password Confirm Credential
このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。
1. フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
2. 「Next」をクリックして、「Summary」ページを表示します。
コントロール
|
Credential Fields
|
現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。 リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。
・ None (フィールドを選択解除します)
・ UserID
・ Old Password/PIN
・ New Password/PIN
・ Confirm Password/PIN
|
|
Use ordinals instead of control IDs
|
エージェントが、ネイティブ・コントロールIDによって個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
|
|
Refresh
|
リストを更新します。
|
|
Back
|
前のウィザード・ページに戻ります。
|
|
Next
|
次のウィザード・ページに進みます。
|
「Options」タブ(Windowsアプリケーションの構成用)
「Miscellaneous」(Windows)タブは、現在選択されているアプリケーション・ログオン・フォームのプロパティを特殊な構成用に調整する場合に使用します。
このタブを表示するには、次のいずれかを実行します。
a. 新しいWindowsアプリケーション・ログオンを作成します。
または
a. 左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
b. 右側のペインで、「General」タブをクリックします。
c. リストからログオン・フォームを選択し、「Edit」をクリックします。
d. 「Windows」フォーム構成ダイアログ・ボックスの「General」タブから、「Options」タブを選択します。
コントロール
|
Attach to window's Message Queue
|
ターゲット・ウィンドウを保持したまま資格証明を送信する場合に選択します。
|
|
Preset Focus
|
エージェントがデータをログオン・フィールドに配置する前に、ログオン・フィールドにフォーカスを設定する場合に選択します。
|
|
System Logon
|
(予約済)
|
|
Use WM_CHAR messages to fill controls
|
アプリケーションによっては、設定済のテキスト・コマンドではなくキーボードからパスワードを入力する必要があります。この設定を有効にすると、コントロール内にテキストを設定することによって、別の方法でキーボード入力をシミュレートできます。
|
|
Adhere to Logon Loop Grace Period
|
ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
|
|
Fall back to SendKeys if direct injection fails
|
ControlIDを使用した直接取込みが失敗した場合に、SendKeysを使用して資格証明を入力するかどうかを示します。デフォルトは「Yes」です。
|
|
Auto-Recognize
|
エージェントにアプリケーションを自動認識させる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
|
|
Auto Submit
|
資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
|
|
Sort Order
|
正規表現を含むウィンドウ・クラス・タイトルをLogon Managerがテンプレート内で検索する順序を指定します。ソート順序を設定することによって、正確性が低い一致を除くことなく、検索の効率が向上します。ソート順序をテンプレートに割り当てない場合、Logon Managerは昇順(値の小さい方を最初に確認する)でテンプレートを確認します。デフォルトは1000です。
|
|
Detection Delay
|
アプリケーション・フィールドが検出されるのをエージェントが待機する必要がある時間間隔。
|
新しいWebアプリケーション・テンプレートの作成
「Web Form」ウィザードを使用すると、新しいWebアプリケーション・テンプレートの作成プロセスが簡単になります。「Web Form」ウィザードは、Oracle Enterprise Single Sign-On Administrative Consoleで「Applications」メニューまたは「Add Application」アイコンを使用して起動するか、開いているアプリケーションのウィンドウから直接起動できます。
Oracle Enterprise Single Sign-On Administrative Consoleを使用したテンプレートの作成
1. 左側のペインで、「Applicationsを右クリックし、ショートカット・メニューから「New Web App」を選択します。「Add Application」ダイアログ・ボックスが、「Web」オプションが選択された状態で表示されます。
2. 新しいログオンの「Name」を入力し、「OK」をクリックします。「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。
または
1. 「Add Application」*アイコンをクリックします (Oracle Enterprise Single Sign-On Administrative Consoleツールバー上)。
2. 「Select Window」画面からWebアプリケーションを選択します。「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。
開いているアプリケーションを使用したテンプレートの作成
アプリケーションの実行中に、Webアプリケーションに対してオンザフライで新しいテンプレートを作成できます。
この手順を実行するには、Oracle Enterprise Single Sign-On Administrative ConsoleおよびLogon Manager Agentの両方が実行中である必要があり、タイトル・バー・ボタンを表示するようにエージェントの設定を構成する必要があります 。
1. ブラウザを開き、作成するテンプレートの元になるURLにナビゲートします。
2. そのブラウザのタイトル・バー・ボタン・メニューから「Create Template」*を選択します。
「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。
*このメニュー項目は、バージョン11.1.1.5.0から含まれています。
「Web Form」ウィザード
「Web Form」ウィザードでは、Webアプリケーション自体を参照して、そのログオンまたはパスワード変更ウィンドウ、個々のフィールドおよび送信(OK)ボタンの識別子を取得できます。 「Web Form」ウィザードを表示するには、次の手順を実行します。
1. 新しいWebアプリケーションを作成します。
2. 「New Web Application」構成ダイアログで、「Wizard」をクリックします。「Web Form」ウィザードが表示されます。
|
|
解像度が800x600のワークステーションを使用している場合、「Web Form」ウィザードの下部にあるボタンは表示されません。また、この解像度では、ウィザードが開始するまでに時間がかかります。ワークステーションの解像度を高く設定することをお薦めします。
|
Webアプリケーションの構成
1. 表示されたダイアログ・ボックスで、構成するアプリケーション・フォームのタイプを選択します。使用可能なオプションは、次のとおりです。
・ Logon。ログオン・フォームを構成します。
・ Logon success。 資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Logon failure。 資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログ・ボックスまたは「Retry Logon」ダイアログ・ボックスを表示して、ユーザーが資格証明を再入力できるようにします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Password change。パスワード変更フォームを構成します。
・ Password confirmation.。 パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
・ Password change success。ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Web Form」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ Password change failure。ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Web Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
|
|
既存のフォームを編集している場合、このダイアログ・ボックスは表示されません。
|
2. 「Web Form」ウィザードで、WebサイトのWebアドレス(URL)を入力し、「Go」をクリックします。ウィザードの最上部のペインは、Webブラウザ・ウィンドウとして機能します。必要に応じて、ウィザードのウィンドウ・サイズを変更できます。
3. 最上部のペインで、Webサイトのログオン・フォームにナビゲートします。Webページで1つ以上のフォームが検出された場合は、ウィザードの最下部のペインにフォームおよびその要素(フィールドおよびボタン)が一覧表示されます。
4. 「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
・ Username/ID
・ パスワード
・ Old Password (パスワード変更フォームのみ)
・ New password (パスワード変更フォームのみ)
・ 「Submit」ボタン
5. (オプション)「Use ordinals instead of names」を選択します。「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
6. (オプション)「Show non-input fields」を選択します。Oracle Enterprise Single Sign-On Administrative Consoleは、入力機能はあっても、送信ボタンとして機能するIMGタグなどの情報は入力できないフィールドを検出し、これらのフィールドを「Web Form」ウィザードのフィールド・リストに追加します。
7. (オプション)「Allow multiple field designation」を選択します。Oracle Enterprise Single Sign-On Administrative Consoleは、同じ資格証明を必要とする複数のフィールド(パスワードの入力、確認フィールドなど)、または2つのフォーム上に同じフィールドを持つページを認識します。
8. ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
a. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
b. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
c. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
9. ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
a. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
b. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
c. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
10. ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
a. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
b. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
c. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
11. ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
12. ログオンに必要なフィールドごとに、前述の2つの手順を繰り返します。最大4つのフィールドをまとめて構成できます。
13. 構成の完了後、「OK」をクリックしてその構成を保存し、「Web Form」ウィザードを閉じます。
「Web Form」ウィザード(RSA SecurIDアプリケーション用)
「Web Form」ウィザードは、次のタスクを実行する場合に使用します。
・ ・RSA SecurID Windowsアプリケーション用の新しいログオンを構成します。
・ 既存のRSA SecurIDログオンに新しいフォームを追加します。
・ 自動PIN変更のフォームを作成します。
・ PIN変更の成功と失敗の自動検出用フォームを作成します。
「Web Form」ウィザードでは、Webアプリケーション自体を参照して、そのフォームおよびウィンドウ、個々のフィールドおよび送信(OK)ボタンの識別子を取得できます。 「Web Form」ウィザードを表示するには、次の手順を実行します。
1. 新しいWebアプリケーションを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。
2. 「New Web Application」構成ダイアログで、「Wizard」をクリックします。「Web Form」ウィザードが表示されます。
|
|
解像度が800x600のワークステーションを使用している場合、「Web Form」ウィザードの下部にあるボタンは表示されません。また、この解像度では、ウィザードが開始するまでに時間がかかります。ワークステーションの解像度を高く設定することをお薦めします。
|
Webアプリケーションの構成
1. 表示されたダイアログ・ボックスで、構成するアプリケーション・フォームのタイプを選択します。使用可能なオプションは、次のとおりです。
・ SecurID Logon。SecurIDログオン・フォームを構成します。
・ SecurID Logon success。 資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ SecurID Logon failure。 資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログ・ボックスまたは「Retry Logon」ダイアログ・ボックスを表示して、ユーザーが資格証明を再入力できるようにします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ PIN change。 PIN変更フォームを構成します。
・ PIN confirmation。 パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
・ PIN change success。 ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Web Form」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ PIN change failure。ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Web Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
|
|
既存のフォームを編集している場合、このダイアログ・ボックスは表示されません。
|
2. 「Web Form」ウィザードで、WebサイトのWebアドレス(URL)を入力し、「Go」をクリックします。ウィザードの最上部のペインは、Webブラウザ・ウィンドウとして機能します。必要に応じて、ウィザードのウィンドウ・サイズを変更できます。
3. 最上部のペインで、Webサイトのログオン・フォームにナビゲートします。Webページで1つ以上のフォームが検出された場合は、ウィザードの最下部のペインにフォームおよびその要素(フィールドおよびボタン)が一覧表示されます。
4. 「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
・ SecurID Username
・ Passcode
・ Tokencode
・ Old PIN (PIN変更およびPIN変更失敗フォームのみ)
・ New PIN (PIN変更およびPIN変更失敗フォームのみ)
・ 「Submit」ボタン
5. (オプション)「Use ordinals instead of names」を選択します。「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
6. (オプション)「Show non-input fields」を選択します。Oracle Enterprise Single Sign-On Administrative Consoleは、入力機能はあっても、送信ボタンとして機能するIMGタグなどの情報は入力できないフィールドを検出し、これらのフィールドを「Web Form」ウィザードのフィールド・リストに追加します。
7. (オプション)「Allow multiple field designation」を選択します。Oracle Enterprise Single Sign-On Administrative Consoleは、同じ資格証明を必要とする複数のフィールド(パスワードの入力、確認フィールドなど)、または2つのフォーム上に同じフィールドを持つページを認識します。
8. ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
a. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
b. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
c. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「SecurID Username」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
9. ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
10. ログオンに必要なフィールドごとに、前述の2つの手順を繰り返します。最大4つのフィールドをまとめて構成できます。
11. 構成の完了後、「OK」をクリックしてその構成を保存し、「Web Form」ウィザードを閉じます。
「Identification」タブ(Webアプリケーションの構成用)
「Identification」(Web)タブは、Webアプリケーション・ログオン構成に関するプログラム情報およびウィンドウ情報を変更する場合に使用します。
・ 「Form name」および「URL」フィールドでエントリを追加、編集または削除することでログオンを手動で構成できます。
または
・ 「Web Form」ウィザードを使用して、ポイントおよびクリックによってURL、フォームおよびフィールドを定義できます。
このタブを表示するには、次のいずれかを実行します。
1. 新しいWebアプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」をクリックし、Webアプリケーションを選択します。
2. 右側のペインで、「General」タブをクリックします。
3. リストからフォームを選択し、「Edit」をクリックします。
「Web」フォーム構成ダイアログが開き、「General」タブが表示されます。
コントロール
|
Form name
|
アプリケーション名を入力します。
|
|
URL
|
構成するログオンまたはパスワード変更フォームの1つ以上のURL。「Add」をクリックして(または一致項目を選択して「Edit」をクリックして)、「URL」ダイアログ・ボックスを表示します。「Delete」をクリックしてURLを削除します。
|
「Fields」タブ(Webアプリケーションの構成用)
「Fields」(Web)タブは、エージェントがログオン・フォームのフィールドとどのようにやり取りするかを定義する場合に使用します。現在選択しているアプリケーション・フォームに対して、次のいずれかの転送方法を選択します。
・ 最大4つのログオン・フィールド(ユーザーIDやパスワードなど)で、コントロールIDを使用します。
・ ログオン・フォームに値を代入して送信するキーストロークの組合せ(オプションで時間も送信可能)で、SendKeysまたはジャーナル・フックが使用されるSendKeysを使用します。
Webフォームの作成後に転送方法を切り替える場合は、この画面で目的の転送方法を選択します。Oracle Enterprise Single Sign-On Administrative Consoleは、選択した転送方法のフィールドを変換します。
|
|
コントロールIDからSendKeysに切り替えると、直接取込み設定を持つすべてのフィールドが変換されます。編集プロセス中に取込み方法を変更することができます。SendKeysからコントロールIDに切り替えると、直接取込みに設定されていないフィールドは変換されません。
|
このタブを表示するには、次のいずれかを実行します。
1. 新しいWebアプリケーション・ログオンを作成します。
・ または
1. 左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
2. 右側のペインで、「General」タブを選択します。
3. リストからログオン・フォームを選択し、「Edit」をクリックします。
4. 「Windows」フォーム構成ダイアログ・ボックスの「General」タブで、「Fields」タブをクリックします。
コントロール
|
Transfer method
(1つ選択)
|
オプション:
・ Control IDs: 標準のWindowsコントロールIDを使用して、資格証明を識別し、フィールドに転送します。フィールドを追加し、そのコントロールIDを入力するには「Add」をクリックし、既存のフィールド設定を変更するには「Edit」をクリックします。
・ SendKeys:キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
・ SendKeys using Journal Hook: ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
|
|
Fields
|
転送方法およびその識別情報を持つ、1つ以上の資格証明フィールド(送信ボタンを含む)。次のことが可能です。
・ フィールドを選択し、「Edit」をクリックして「Control ID」または「SendKeys」設定を変更します。
・ 「Add」をクリックしてフィールドを追加します(「Control ID」のみ)
・ 「Delete」をクリックしてフィールドを削除します(コントロールIDのみの場合)。
・ 「Up」を使用します。  および「Down」  矢印で、フィールドを並べ替えます。
|
動的コントロールIDおよび序数コントロールID
アプリケーションによっては、アプリケーションの起動ごとに各フィールドのコントロールIDを変更します。Logon Managerには、これらの動的なコントロールIDを置き換えるために序数のID番号を割り当てるオプションがあり、これによって、アプリケーションの起動ごとにコントロールIDは変更されなくなります。
|
|
Logon Managerは、デフォルトで.NETアプリケーションに必須の序数フィールドIDを割り当てます(これにはコントロールIDのネイティブ・サポートはありません)。
|
序数コントロールIDを割り当てるためのLogon Managerの構成
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. Logon Manager Agentを一時停止します。
3. テンプレートを作成するアプリケーションを起動します。
4. テンプレート・ウィザードを起動します。
5. 「Logon」を選択します。
「Credential Fields」画面に、各フィールドのコントロールIDが表示されます。動的コントロールIDを持つアプリケーションの場合、このID番号は起動ごとに異なります。(これは、ネイティブ・コントロールIDを持たない.NETアプリケーションにはあてはまりません。)
6. 「Use ordinals instead of control IDs」を選択します。
・ 「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
・ ネイティブ・コントロールIDをサポートするアプリケーションの場合、「Use ordinals instead of control IDs」を選択すると、アプリケーション・ウィンドウでコントロールを列挙することによって、コントロールIDの検出が行われます。「ID」列にはフィールドの序数が格納され、表示がリフレッシュされます。
・ 序数IDを使用しない場合、動的コントロールIDがデフォルトとして表示されます(常に序数が表示される.NETアプリケーションを除きます)。
・ 「Use 'Send Keys' for this form.Do not use Control ID」を選択すると、「Use ordinals instead of control IDs」オプションを使用できなくなります。
7. IDに割り当てるフィールドを決定する数値フィールドの値を選択します。そのフィールドは、点滅する境界線で囲まれます。フィールド名(「Username」、「Password」など)を選択するには、ドロップダウン・メニューを右クリックします。
SendKeys設定(Webアプリケーション用)
この画面でコントロールを使用してSendKeysアクションを定義します。転送方法をコントロールIDからSendKeysまたはジャーナル・フックが使用されるSendKeysに変換すると、Oracle Enterprise Single Sign-On Administrative Consoleは、ControlID設定をSendKeysアクションに自動的に変換し、「Direct injection」オプションを指定します。いずれかのSendKeys転送方法からコントロールIDに変換する場合は、直接取込みを使用するか、失われるように設定を構成する必要があります。
SendKeysエディタの使用
1. 「Fields」タブで、転送方法として「SendKeys」を選択します。「Fields」ウィンドウが既存のフィールドの変換を反映するように変更され、名前には「-> direct injection」が含まれるようになります。
2. 「Edit」ボタンをクリックしてSendKeysエディタを開きます。「Current Actions」リストには、エディタが検出した項目が含まれます。
「New Actions」ボックスには、フォームに追加する他のコントロールのリストが含まれます。このリストの選択内容に応じて、右側に表示されるオプションが変わります。
たとえば、「New Actions」リストから「Fields」を選択すると、「Field Type」ボックスが表示され、3つ目および4つ目のフィールドの選択肢が提供されます。「Delay」を選択すると、遅延間隔を指定できるメニューが表示されます。
3. 「Current Actions」リストで項目を選択し、リストの下の「Edit」ボタンをクリックして、フィールドまたはアクションの設定を変更します。「Up」をクリックします。または「Down」 矢印で、リストを並べ替えます。
4. SendKeysエディタの「New Actions」セクションを使用して、リストにフィールドおよびアクションを追加します。様々なアクションの構成の詳細は、次の表を参照してください。
新しいアクションを構成して挿入すると、「Current Actions」リストに追加されます。
SendKeysのコントロール
|
現在のアクション
|
|
Keys/Actions
|
エディタが検出したキーおよびアクションをリストします。このリストをコントロールIDからSendKeysに変換した場合、すべてのアクションがデフォルトで直接取込みとして構成されます。
「Up」を使用します。 および「Down」 矢印で、このリスト内の項目を並べ替えます。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Fields
|
Field Type
|
キーストロークの組合せに追加する資格証明項目をリストから選択します。
・ Username/ID
・ パスワード
・ Third Field
・ Fourth Field
|
|
|
Character to insert after field
|
フィールドへの入力後に自動的に挿入するキーストロークを選択します。
・ None (キーストロークなし)
・ Enter (フォームを送信する場合)
・ Tab (カーソルを進める場合)
後述の「Special Keys」を参照してください。
|
|
|
Inject directly into control
|
コントロールに資格証明を直接挿入します。省略記号(…)ボタンをクリックして、「Web Field」ダイアログ・ボックスを開きます。
|
|
Web Field
|
Function
|
このボックスには、編集中のフィールドの名前が事前に入力されており、変更できません。
1. 「Wizard」をクリックして「Web Form」ウィザードを起動します(前に指定したURLが入力されています)。
2. ウィザードでそのWebページのフィールドを選択し、「OK」をクリックしてウィザードを閉じます。「Web Field」ダイアログ・ボックスに戻ります(選択したフィールドのパラメータが入力されています)。
3. 「OK」をクリックして「Web Field」ダイアログ・ボックスを終了します。これで、「Current Actions」リストに、構成済のフィールドまたはアクションが表示されます。
|
|
|
Frame
|
構成する機能を含むWebページ内のフレーム番号を識別します。
|
|
|
Form
|
この機能に基づいて作成するフォームのタイプを識別します。
|
|
|
Field identification
|
Webページで指定されているとおりに、フィールドを識別します。
|
|
|
Field type
|
フィールドのタイプを識別します。
・ Text
・ パスワード
・ Select-One
・ Select-Multiple
|
|
|
Insert
|
キーストロークの組合せに現在の選択内容を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Click
|
Click on a control
|
省略記号(…)ボタンをクリックして、「Web Element」ダイアログ・ボックスを開き、「Wizard」をクリックして「Web Form」ウィザードを起動します。この場合、ウィザードはクリック可能なフィールドのみを識別します。
クリックと関連付けるフィールドを選択し、「OK」を選択します。ウィザードが閉じ、「Web Element」ダイアログ・ボックスに戻ります。そのフィールドには、ウィザードが識別した情報が入力されています。
|
|
|
Frame
|
構成する機能を含むWebページ内のフレーム番号を識別します。
|
|
|
Form
|
この機能に基づいて作成するフォームのタイプを識別します。
|
|
|
Field identification
|
Webページで指定されているとおりに、フィールドを識別します。
|
|
|
Field type
|
フィールドのタイプを識別します。
・ Submit
・ Image
・ Button
・ Anchor
・ IMG
Oracle Enterprise Single Sign-On Administrative Consoleは、コントロールの場所を検出し、そのコントロールの中央でクリックをシミュレートします。
|
|
|
Insert
|
キーストロークの組合せにクリックによる選択を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Run Task
|
Command line to run
|
実行するコマンドラインを入力します。この機能を使用すると、キーストロークの入力中にプログラムを実行できます。
・ ウィンドウ・ハンドルをコマンドラインに追加して、現在作業中のウィンドウ・ハンドルをスクリプトに通知できます。
$(HWND)
・ 環境変数もコマンドラインに追加できます。
$(USERDOMAIN)\$(USERNAME)
省略記号(…)ボタンをクリックして、「Choose File」ダイアログ・ボックスを開きます。
|
|
仮想キー・コードをコマンドラインで使用することはできません(最初のバッククォート文字でコマンドラインが終了します)。
|
|
|
|
Expected return code
|
予想されるリターン・コードを入力します。この値が返されなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。
|
|
|
Time out (sec.)
|
タスクが完了するまで待機するミリ秒数を入力します。このタイムアウトに達しなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。最大のタイムアウト時間は5秒です。
|
|
|
Insert
|
キーストロークの組合せにタスクを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Delay
|
Length of delay (in seconds)
|
キーストローク間の遅延を入力または選択します。
|
|
|
Insert
|
キーストロークの組合せに遅延を追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Set Focus
|
Set focus to control
|
コントロールにフォーカスを設定します。省略記号(…)ボタンをクリックして、「Web Element」ダイアログ・ボックスを開き、「Web Form」ウィザードを起動します。フォーカスを取得する、使用可能なフィールドを選択します。「OK」をクリックします。
|
|
|
Insert
|
キーストロークの組合せにフォーカスを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Text
|
Enter text to insert
|
キーストロークの組合せに追加するリテラル・テキストを入力します。
|
|
|
Insert
|
キーストロークの組合せにテキストを追加します。
|
|
新しいアクション
|
コントロール
|
説明
|
|
Special Keys
|
Category
|
左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Backspace]など)を選択します。
|
|
|
Key List
|
キーの機能を選択します。
・ Key Press。単一のキーストロークとしてキーを挿入します(デフォルト)。
・ Key Down/Up。キーを押して解放するという1組のアクションとしてキーを挿入します。このオプションを使用すると、これらのアクション間に他のキーストロークを挿入して、あるキーの入力時に1つ以上の別のキーを押したままにすることができます。たとえば、フォーカスを特定のテキスト・ボックスに移動するホット・キーの組合せを作成できます。
たとえば、キーストローク[Alt]+[P]を挿入するには、「Key Down/Up」オプションを選択し、カテゴリとして「Modifier」、キーとして「Alt」をそれぞれ選択し、「Insert」をクリックします。これにより、[Down:Alt]と[Up:Alt]の2つのアクションが挿入されます。
「Text」タブを選択し、テキスト・ボックスにPと入力します。 左側のペインで、「[Up:Alt]」を選択し、「Insert」をクリックします。Pが2つの[Alt]キー・アクションの間に挿入され、[Alt]+[P]が生成されます。
・ Key Down。押下げのみとして、キーを挿入します。
・ Key Up。解放としてのみ、キーを挿入します。
|
|
|
Insert
|
キーストロークの組合せにキーストロークを追加します。
|
「Matching」タブ(Webアプリケーションの構成用)
Web用の「Matching」タブは、同じWebアプリケーション(通常、マルチフォーム・ポータル・ページ)内でログオン・フォーム、パスワード変更フォームまたはパスワード確認フォーム(ここではターゲット・フォームと呼びます)を区別する場合に使用します。エージェントは、ここで指定した一致基準を使用して、類似したフォームを区別します。
このタブは、通常、検出一致基準を調整する場合に使用します。検出一致基準とは、あるページの特定に使用する一連のHTMLタグおよび値のことです。これにより、検出一致基準のサブセットを使用するオフセット一致を作成し、そのページで目的のログオン・フォームまたはパスワード変更フォームを特定できます。
このタブを表示するには、次の手順を実行します。
・ 新しいWebアプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」を選択し、Webアプリケーションを選択します。
2. 右側のペインで、「General」タブをクリックします。
3. リストからフォームを選択し、「Edit」をクリックします。
4. 「Web」フォーム構成ダイアログ・ボックスの「General」タブで、「Matching」タブを選択します。
検出一致基準の作成または変更
1. 「Detection Match」リストで、次のいずれかを実行します。
・ 新しい一致基準を作成するには、「Add」をクリックします。
・ 既存の一致を変更するには、一致を選択し、「Edit」をクリックします。
2. 「Edit Match」ダイアログ・ボックスで、必要な情報を入力または選択し、「OK」をクリックしてこのダイアログ・ボックスに戻ります。
3. 必要に応じて、一致基準の順序を調整します。
a. 移動する一致を選択します。
b. 「Up」をクリックします。または「Down」 矢印。
4. 「OK」をクリックします。
オフセット一致
|
|
オフセット一致は、ポータルWebページでのみ使用します。
|
このタイプの一致は複数のウィンドウを持つポータル・ページで使用され、ユーザーはこのウィンドウを再編成、追加および削除することができます。照合しているサイトがポータルでない場合は、このパネルのオフセット一致セクションを空白のままにしておきます。
通常の一致検出では、フォームは常に同じ順序で表示される必要があります。オフセット一致では、フォーム(ウィンドウのように見えます)を再編成でき、特定のウィンドウを他のすべてのウィンドウから分離できます。これはポータル・ページにのみ適用されます(これらのページは動的で、フィールド名ではなく序数値が照合に使用されるためです)。
「Offset Start」フィールドを使用して、どの一致結果のフォームをフォーム・オフセットに使用するかをLogon Managerに伝えます。オフセット開始値は、オフセット一致の数である必要があります。たとえば、オフセット一致が3つある場合、オフセット開始値は3になります。
オフセット一致基準の作成または変更
1. 必要に応じて「Offset Match」リストで、次のいずれかを実行します。
・ 定義した検出一致基準をコピーするには、「Copy from Detection」をクリックします。
・ 新しい一致基準を作成するには、「Add」をクリックします。
・ 既存の一致を変更するには、一致を選択し、「Edit」をクリックします。
2. 「Edit Match」ダイアログ・ボックスで、必要な情報を入力または選択し、「OK」をクリックしてこのダイアログ・ボックスに戻ります。
3. 必要に応じて、一致基準の順序を調整します。
a. 移動する一致を選択します。
b. 「Up」をクリックします。または「Down」 矢印。
c. 「Offset Start」を選択します。
4. 「OK」をクリックします。
一致基準の編集(Webアプリケーション用)
このダイアログ・ボックスは、選択したWebフォームの一致基準を作成または変更する場合に使用します。
|
Tag
|
HTMLタグ・タイプを入力します(たとえば、表セルの場合は<TD>と入力します)。
|
|
Match Tag Instance
|
「Tag」の特定のインスタンスと照合する場合に選択します(この場合、そのインスタンスの番号を選択しますが、たとえば、ページの3番目の表セルと照合する場合は3を選択します)。
|
|
Criteria
|
基準タイプを1つ選択します。
・ Text。タグ要素のプレーン・テキスト(InnerText)の内容(「Enter your password」など)。
・ HTML。タグ要素のリッチ・テキスト(InnerHTML)の内容(「<b>Enter your password</b>」など)。
|
|
ブラウザによっては、innerHTMLのプロパティ・タグが通常のHTMLと異なることがあります。たとえば、タグの大/小文字の状態が異なっていたり、タグとタグの内側のテキストの間にスペースがなかったりします。一致に関する問題を回避するには、代替のタグおよびワイルドカード文字を使用して、これらの違いに対処します。
例: 太字の「OK」ボタンのタグとして「<b>OK</b>」が予想されている場合に、innerHTMLタグが「<B> OK </B>」であることがあります。これが確実に一致とみなされるには、この正規表現を「<(b|B)>.*OK.*</(b|B)>」と指定します。
|
・ Attribute。ボックスに、タグ要素のHTML属性(「id =password」など)を入力します。
|
|
Value
|
照合する実際のテキストを入力します。
・ Match Whole Value: 「Value」の厳密な照合を実施する場合に選択します(つまり、タグ要素に余分なテキストを追加すると、照合は失敗します)。
・ User regular expression: 正規表現に基づいた柔軟な照合を許可する場合に選択します。
|
|
Operation
|
一致と一致の関係を選択します。
・ And: この一致は、フォームの識別に必要な複数の一致のうちの1つです。
・ Or: この一致のみでフォームを識別します。
・ Not: この一致は、フォームを除外します。
|
|
AND、ORまたはNOT演算子は、エージェントがWeb一致の組合せに応答する条件を指定します。
ANDで一致する値を一致基準に割り当てた場合、ページに応答するための条件がエージェントに存在する必要があります。そのため、いくつかのフィールドがAND演算子に割り当てられている場合は、それらすべての基準が存在する必要があります。
ORで一致する値を複数の一致基準に割り当てた場合、いずれかの基準が存在する場合にエージェントが応答します。
NOT演算子は、照合を実行するときの除外を指定する場合に使用します。エージェントは、NOT基準の条件が存在しないかぎり、AND演算子およびOR演算子を割り当てたすべての基準に応答します。エージェントは、NOT演算子で特定されたインスタンスを除外します。
|
|
URLの追加/編集
このプロンプトは、構成するログオン/パスワード変更フォームのURL (Uniform Resource Locator、一般的にWebアドレスと呼ばれる)を指定する場合に使用します。
マッチング用のURLを指定するには、次の手順を実行します。
1. 次のいずれかを選択します(後述の「表現の照合」を参照)。
・ Exact
・ Wildcard (Kiosk Managerには適用されません)
・ Regular Expression (Kiosk Managerには適用されません)
2. URLまたは照合の表現を入力(または編集)します。
3. 「OK」をクリックします。
表現の照合
URLのテキストが変化するアプリケーションの場合は、部分文字列や正規表現を使用して、その可変テキストの照合方法を指定できます。
|
ワイルド・カード
|
・ ? (疑問符)は、任意の1文字と一致します。
・ * (アスタリスク)は、0個以上の任意の文字と一致します。
|
|
これは、Kiosk Managerには適用されません。
|
|
|
正規表現
|
正規表現のセットを使用して、エージェントが一致とみなす文字列パターンを指定できます。
|
|
これは、Kiosk Managerには適用されません。
|
|
環境変数の照合
URLに(ワークステーションのオペレーティング・システムのDOMAINUSER環境変数から取得するなどして)ユーザーの名前を使用しているアプリケーションの場合は、一致基準として「Exact」を選択し、一致文字列に次の置換トークンのいずれかを含めます。
|
%DOMAINUSER%
|
この環境変数から導出されるものと同じユーザー名
|
|
%UC%%DOMAINUSER%
|
すべて大文字に変換されたユーザー名
|
|
%LC%%DOMAINUSER%
|
すべて小文字に変換されたユーザー名
|
例
このURLエントリは、ユーザー名が含まれているパスワード変更ウィンドウのタイトルと一致します。
Webフィールドの追加および編集
このダイアログ・ボックスは、Webフォームに資格証明フィールドまたは「Submit」ボタンを指定する場合に使用します。
|
Function
|
資格証明タイプを選択します。
・ UserID
・ Password
・ Third Field
・ Fourth Field
・ New Password
・ Confirm New Password
・ Submit
|
|
Frame
|
フィールドが表示されるブラウザ・フレームのターゲット名を入力します(ターゲット・ページの親フレームセットの<frame>要素にNAME属性で指定されます)。
|
|
Form
|
フィールドが表示されるフォームの名前を入力します(ターゲット・ページの<form>要素にNAME属性で指定されます)。
|
|
Field identification
|
「...」ボタンを選択して「Field Identification」ダイアログ・ボックスを表示します(ここで照合するフィールドのタイプを選択できます)。
|
|
Field type
|
フィールド・タイプ(フィールドの<input>要素のtype属性に対応)、または「Submit」ボタンとして使用されるハイパーリンク・アンカーまたはIMGタグ(<A HREF=...>)を選択します。
|
|
資格証明のタイプ
|
<INPUT TYPE=...>オプション
|
|
UserID
|
Text
|
|
Password
|
パスワード
|
|
Third Field
|
Select-One
|
|
Fourth Field
|
Select-Multiple
|
|
New Password
|
|
|
Confirm New Password
|
|
|
Submit
|
Submit
|
|
Image
|
|
Button
|
|
アンカー(<A HREF...>タグ
|
|
IMG (<A HREF...>タグ
|
「Field Identification」ダイアログ・ボックス
この画面を使用して、エージェントに認識させるフィールドのタイプを指定します。次の中から適切なラジオ・ボタンを選択します。
・ Use field name: フィールドのラベルに一貫した名前(User、e-mailなど)が付いているWebサイトに対して選択します。
・ User ordinal number: 動的なWebページに対して、変化するフィールド番号を序数で置き換える場合に選択します。詳細は、「動的コントロールIDおよび序数コントロールID」を参照してください。
・ Use matching: フィールド索引がユーザーによって異なるWebサイトに対して選択します。次の表で説明する選択肢から選択します。
|
Tag
|
HTMLタグ・タイプを入力します(たとえば、表セルの場合は<TD>と入力します)。
|
|
Match Tag Instance
|
「Tag」の特定のインスタンスと照合する場合に選択します(この場合、そのインスタンスの番号を選択しますが、たとえば、ページの3番目の表セルと照合する場合は3を選択します)。
|
|
Criteria
|
基準タイプを1つ選択します。
・ Text。タグ要素のプレーン・テキスト(InnerText)の内容(「Enter your password」など)。
・ HTML。タグ要素のリッチ・テキスト(InnerHTML)の内容(「<b>Enter your password</b>」など)。
|
|
ブラウザによっては、innerHTMLのプロパティ・タグが通常のHTMLと異なることがあります。たとえば、タグの大/小文字の状態が異なっていたり、タグとタグの内側のテキストの間にスペースがなかったりします。一致に関する問題を回避するには、代替のタグおよびワイルドカード文字を使用して、これらの違いに対処します。
例: 太字の「OK」ボタンのタグとして「<b>OK</b>」が予想されている場合に、innerHTMLタグが「<B> OK </B>」であることがあります。これが確実に一致とみなされるには、この正規表現を「<(b|B)>.*OK.*</(b|B)>」と指定します。
|
・ Attribute。ボックスに、タグ要素のHTML属性(「id =password」など)を入力します。
|
|
Value
|
照合する「Criteria」のテキストを入力します。
|
|
Match Whole Value
|
前のフィールドに入力した「Value」の厳密な照合を実施する場合に選択します(つまり、タグ要素に余分なテキストを追加すると、照合は失敗します)。
|
|
Use regular expression
|
前のフィールドに入力した値を照合するための正規表現を選択します(照合範囲を広げるためにワイルドカードを使用できます)。
|
|
照合する表現の一部としてコロン(":")は使用しないでください。Oracle Enterprise Single Sign-On Logon Managerでは、表現の内容の解析時にこの文字をデリミタとして使用しています。
|
|
「Options」タブ(Webアプリケーションの構成用)
Webページには、ページがロードされ、有効になるまでに少し時間が必要なフォームが含まれることがあります。この場合、Logon Managerによる資格証明の送信が早すぎる場合があります。これを回避するには、「Options」タブの「Submit Delay」設定で、すべてのフォームが有効になるまでの時間を設定します。
|
Dynamic Page
|
テンプレートのWebページが動的な内容を含むことを示すために、チェックします。
|
|
Adheres to Logon Loop Grace Period
|
ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
|
|
Auto-Recognize
|
エージェントにアプリケーションを自動認識させる場合に選択します。「Options」タブでこの設定のステータスを指定した場合、この指定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
|
|
Auto Submit
|
資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
|
|
Preset Focus
|
エージェントがデータをログオン・フィールドに配置する前に、ログオン・フィールドにフォーカスを設定する場合に選択します。
|
|
Submit via Keyboard
|
「Submit」ボタンのないWebページに対して、プログラムのSubmitコマンドを入力するようにエージェントに指示する場合に選択します。
|
|
Submit Delay (ミリ秒)
|
エージェントが資格証明を送信するまでに待機する時間をミリ秒単位で入力します。
|
このタブを表示するには、次の手順を実行します。
Webアプリケーションの右側のペインの「General」タブで、Webアプリケーションをダブルクリックまたは右クリックし、「Options」タブを選択します。
Creating a New Host/Mainframe Application
このダイアログ・ボックスは、ホスト/メインフレーム・アプリケーションの新しいログオンを構成する場合に使用します。
手順全体については、「メインフレーム・アプリケーションの追加」を参照してください。
新しいホスト/メインフレーム・アプリケーションの構成
a. ターゲット・アプリケーションを起動します。
b. 左側のペインで「Applications」を右クリックし、ショートカット・メニューから「New Host App」を選択します。
c. 「Host/Mainframe」オプションが選択された状態で「Add Application」ダイアログ・ボックスが表示されます。
d. 「Add Application」ダイアログ・ボックスで、新しいログオンの名前を入力し、「OK」をクリックします。「Host/Mainframe Form」ウィザード(新しいログオン・フォームの構成用)が表示されます。
「Host/Mainframe Form」ウィザード
「Host/Mainframe Form」ウィザードは、次のタスクを実行する場合に使用します。
・ ・ホスト/メインフレーム・エミュレータまたはTelnet (スクロール画面)アプリケーションの新しいログオンを構成します。
・ 既存のログオンに新しいフォームを追加します。
・ 自動パスワード変更のフォームを作成します。
・ パスワード変更の成功および失敗を検出するフォームを作成します。
「Host/Mainframe Form」ウィザードでは、アプリケーション自体を使用して、そのログオン/パスワード変更ウィンドウ、および個別のユーザー名/ID、パスワードおよびその他のフィールドを識別できます。 ログオンを作成するための一般的な手順は、次のとおりです。
1. ターゲットのエミュレータまたはTelnetアプリケーションを起動します。
2. 「Form Type」および「Screen Type」を選択します。
3. アプリケーションのログオン/パスワード変更画面のテキストをコピーし、Oracle Enterprise Single Sign-On Administrative Consoleに貼り付けます。
4. その画面がログオン/パスワード変更フォームであることを示す画面キャプションのテキストおよび位置を指定します。
5. 個別のユーザー名/ID、パスワードおよびその他のフィールドの位置(Telnetアプリケーションの場合は順序)を指定します。
6. 構成を確認し、「Back」ボタンおよび「Next」ボタンを使用して、必要に応じて変更を加えます。
7. ホスト/メインフレーム・ログオンの設定を手動で変更するには、「Identification」タブ(ホスト/メインフレーム・ログオン・フォームの構成用)を使用します。
8. この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。また、ホスト/メインフレーム・ログオンの作成および構成に関する具体的な説明については、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。
ホスト/メインフレーム・アプリケーションの構成
ホスト/メインフレーム・エミュレータまたはTelnetで、ターゲット・アプリケーションを起動します。
1. Oracle Enterprise Single Sign-On Administrative Consoleで、次のいずれかを実行します。
・ 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
・ 既存のホスト・メインフレーム・アプリケーションを選択し、「General」タブの「Add」をクリックします。
2. 「Host/Mainframe」ウィザードでフォーム・タイプを選択します。 使用可能なオプションは、次のとおりです。
・ Logon。 ログオン・フォームを構成します。
・ Logon success。 資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Logon failure。 資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログ・ボックスまたは「Retry Logon」ダイアログ・ボックスを表示して、ユーザーが資格証明を再入力できるようにします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ Password change。パスワード変更フォームを構成します。
・ Password confirmation.。 パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
・ Password change success。ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Host/Mainframe」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ Password change failure。 ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Host/Mainframe」の「Credentials」ページが表示されます(そこで必要なフィールドを構成します)。
3. 「Screen Type」ウィザード・ページで、次のいずれかを実行します。
・ ログオン・フォームが静的なテキスト・ページとして存在するホスト/メインフレーム・エミュレータでアプリケーションを実行している場合は、「Fixed Screen」を選択します。
・ ログオン情報を一連のプロンプトとしてリクエストするTelnetまたはその他のスクロール画面コンソールでアプリケーションを実行している場合は、「Scrolling Screen」を選択します。
4. ターゲット・アプリケーション上に開いている「Paste Screen Text」ページで、画面テキスト全体をWindowsクリップボードにコピーします。
|
|
エミュレータには、コピーのコマンドまたはボタンが用意されているもの、および[Ctrl]キーを押しながら[C]キーを押してコピーするものがあります。Windows Telnetでは、テキストを選択して「Enter」を選択します。
|
5. コンソールの「Paste Screen Text」ページで、「Paste Text」をクリックしてテキストをウィザード・ページに貼り付け、「Next」をクリックします。
|
|
エミュレータ画面で復帰改行文字を使用しない場合は、適切なテキスト・ラップが設定されるように「Characters per Line」を調整します。
|
6. 「Cursor Position」ページで、矢印キーをクリックまたは使用して、Telnetアプリケーションのウィンドウでテキスト・カーソルが表示される正確な位置にカーソルを配置します。
7. 「Next」をクリックして、次のウィザード・ページを表示します。
8. 「Text to Match」ウィザード・ページで、画面がログオンまたはパスワード変更フォームであることを示すテキスト・ブロックを選択します。選択範囲を右クリックし、「Add as Text Match」をクリックします。追加のテキスト・ブロックごとにこの手順を繰り返します。
9. 選択が完了したら、「Next」をクリックして、次のウィザード・ページを表示します。
10. 「Fields」ウィザード・ページで、次のいずれかを実行します。
・ 固定画面ログオンの場合、テキスト・カーソルをフィールドの開始位置に置きます。右クリックし、ショートカット・メニューからフィールド・タイプ(「Username/ID」、「Password」、「Third Field」、「Fourth Field」)を選択します。必須フィールドごとにこの手順を繰り返します。
・ スクロール画面の場合、テキスト・カーソルをプロンプト入力位置に置きます。「Add」をクリックし、要求された最初のフィールド・タイプを選択します。必須プロンプトごとにこの手順を繰り返します。
11. 選択が完了したら、「Next」をクリックして、サマリー・ページを表示します。
12. 構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。
13. 構成が完了したら、「Finish」をクリックします。
「Host/Mainframe Form」ウィザード(RSA SecurID用)
「Host/Mainframe Form」ウィザードは、次のタスクを実行する場合に使用します。
・ ・ホスト/メインフレーム・エミュレータまたはTelnet (スクロール画面)アプリケーションの新しいログオンを構成します。
・ 既存のログオンに新しいフォームを追加します。
・ 自動PIN変更のフォームを作成します
・ PIN変更の成功および失敗を検出するフォームを作成します
「Host/Mainframe Form」ウィザードでは、アプリケーション自体を使用して、そのウィンドウおよびフィールドを識別できます。 ログオンを作成するための一般的な手順は、次のとおりです。
1. ターゲットのエミュレータまたはTelnetアプリケーションを起動します。
2. 「Form Type」および「Screen Type」を選択します。
3. アプリケーションによって表示されたフォームからテキストをコピーし、Oracle Enterprise Single Sign-On Administrative Consoleに貼り付けます。
4. その画面が選択されたタイプのフォームであることを示す画面キャプションのテキストおよび位置を指定します。
5. 個別のユーザー名/ID、PINおよびその他のフィールドの位置(Telnetアプリケーションの場合は順序)を指定します。
6. 構成を確認し、「Back」ボタンおよび「Next」ボタンを使用して、必要に応じて変更を加えます。
ホスト/メインフレーム・ログオンの設定を手動で変更するには、「General」タブ(ホスト/メインフレーム・ログオン・フォームの構成用)を使用します。
この手順を開始する前に、アプリケーションの構成に関する「一般的なガイドライン」を参照してください。また、ホスト/メインフレーム・ログオンの作成および構成に関する具体的な説明については、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。
ホスト/メインフレーム・アプリケーションの構成
ホスト/メインフレーム・エミュレータまたはTelnetで、ターゲット・アプリケーションを起動します。
1. Oracle Enterprise Single Sign-On Administrative Consoleで、次のいずれかを実行します。
・ 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。
・ 既存のホスト・メインフレーム・アプリケーションを選択し、「General」タブの「Add」をクリックします。
2. 「Host/Mainframe」ウィザードでフォーム・タイプを選択します。 使用可能なオプションは、次のとおりです。
・ SecurID Logon。 ログオン・フォームを構成します。
・ SecurID Logon success。 資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ SecurID Logon failure。 資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログ・ボックスを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログ・ボックスまたは「Retry Logon」ダイアログ・ボックスを表示して、ユーザーが資格証明を再入力できるようにします。このフォームの使用の詳細は、Oracleのナレッジベースを参照してください。
・ PIN change。 PIN変更フォームを構成します。
・ PIN confirmation。 パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
・ PIN change success。 ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Host/Mainframe」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
・ PIN change failure。 ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Host/Mainframe」ウィザードの「Credentials」ページが表示されます(そこで必要なフィールドを構成します)。
3. 「Screen Type」ウィザード・ページで、次のいずれかを実行します。
・ ログオン・フォームが静的なテキスト・ページとして存在するホスト/メインフレーム・エミュレータでアプリケーションを実行している場合は、「Fixed Screen」を選択します。
・ ログオン情報を一連のプロンプトとしてリクエストするTelnetまたはその他のスクロール画面コンソールでアプリケーションを実行している場合は、「Scrolling Screen」を選択します。
4. ターゲット・アプリケーション上に開いている「Paste Screen Text」ページで、画面テキスト全体をWindowsクリップボードにコピーします。
|
|
エミュレータには、コピーのコマンドまたはボタンが用意されているもの、および[Ctrl]キーを押しながら[C]キーを押してコピーするものがあります。Windows Telnetでは、テキストを選択して「Enter」を選択します。
|
5. コンソールの「Paste Screen Text」ページで、「Paste Text」をクリックしてテキストをウィザード・ページに貼り付け、「Next」をクリックします。
|
|
エミュレータ画面で復帰改行文字を使用しない場合は、適切なテキスト・ラップが設定されるように「Characters per Line」を調整します。
|
6. 「Cursor Position」ページで、矢印キーをクリックまたは使用して、Telnetアプリケーションのウィンドウでテキスト・カーソルが表示される正確な位置にカーソルを配置します。
7. 「Next」をクリックして、次のウィザード・ページを表示します。
8. 「Text to Match」ウィザード・ページで、画面がログオンまたはパスワード変更フォームであることを示すテキスト・ブロックを選択します。選択範囲を右クリックし、「Add as Text Match」をクリックします。追加のテキスト・ブロックごとにこの手順を繰り返します。
9. 選択が完了したら、「Next」をクリックして、次のウィザード・ページを表示します。
10. 「Fields」ウィザード・ページで、次のいずれかを実行します。
・ 固定画面ログオンの場合、テキスト・カーソルをフィールドの開始位置に置きます。右クリックし、ショートカット・メニューからフィールド・タイプ(「Username/ID」、「Password」、「Third Field」、「Fourth Field」)を選択します。必須フィールドごとにこの手順を繰り返します。
・ スクロール画面の場合、テキスト・カーソルをプロンプト入力位置に置きます。「Add」をクリックし、要求された最初のフィールド・タイプを選択します。必須プロンプトごとにこの手順を繰り返します。
11. 選択が完了したら、「Next」をクリックして、サマリー・ページを表示します。
12. 構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。
13. 構成が完了したら、「Finish」をクリックします。
「Identification」タブ(ホストまたはメインフレーム・アプリケーションの構成用)
このダイアログ・ボックスは、ホスト/メインフレーム・アプリケーション・ログオン・フォームに関する情報を変更する場合に使用します。
このタブを表示するには、次のいずれかを実行します。
1. 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
または
1. 左側のペインで、「Applications」を選択し、ホスト/メインフレーム・アプリケーションを選択します。
2. 右側のペインで、「General」タブをクリックします。
3. リストからログオン・フォームを選択し、「Edit」をクリックします。
「Host/Mainframe」フォーム構成ダイアログが開き、「General」タブが表示されます
コントロール
|
Form Name
|
アプリケーション・ログオン・フォームの名前。この名前は編集できます。
|
|
Window Titles
|
エミュレータによっては、他のエミュレータから区別できるような、それ固有の特徴が画面にないため、開いているエミュレータ・アプリケーションのリストからウィンドウ・タイトルを選択するオプションがあります。
・ 「Add」をクリックして、「Window Title」画面を開き、ウィンドウ・タイトル名を手動で入力します。
または
・ 「Choose」をクリックして「Select Window」画面を開き、開いているエミュレータのリストからアプリケーションを選択します。
|
|
Text Matching
|
エージェントがこのフォームを特定するために使用するリテラル・テキスト文字列、その文字列の先頭文字の画面座標(行番号および列番号)を表示します。「Add」をクリックして新しいテキスト識別子を指定するか、「Edit」をクリックして既存のものを変更します。
|
|
Fields
|
Logon Managerがホスト・アプリケーションのログオン・フォームに転送するキーストロークの組合せを表示します。キーストロークの組合せを追加または変更するには、「Edit」をクリックして、「SendKeys (Host/Mainframe)」ダイアログ・ボックスを表示します。
|
|
Wizard
|
「Host/Mainframe Form」ウィザードを起動して、視覚的にアプリケーションを構成します。
|
Text Matching (ホスト/メインフレーム・ログオン・フォーム)
「Text Matching」ダイアログ・ボックスは、画面がログオンまたはパスワード変更フォームであることを示す画面キャプションのテキストおよび位置を指定する場合に使用します。
また、テキストの先頭文字の場所(行番号および列番号)を指定する必要もあります。テキストの行番号および列番号を検索するには、セッション・ウィンドウの最下部にあるステータス・バーのカーソル位置インジケータを使用します。
コントロール
|
Row
|
テキストの先頭文字の行番号(画面の垂直座標)を入力します。
Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この値はカーソル位置を基準としており、負の値(カーソルより上の行を示す)またはアスタリスク(*)(画面の任意の行を示す)になることがあります。
|
|
Column
|
テキストの先頭文字の列番号(画面の水平座標)を入力します。Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この設定は画面の任意の行を示すアスタリスク(*)になることがあります。
|
|
Text
|
照合するテキストの文字列を入力します。
|
Edit Fields/Actions (ホスト/メインフレーム・アプリケーション用)
「Edit Fields/Actions」ダイアログ・ボックスは、Logon Managerがホスト・アプリケーションのログオン・フォームに転送するキーストロークの組合せを指定する場合に使用します。
「Edit Fields/Actions」ダイアログ・ボックスの右側のペインの各タブには、キーストローク・オプションがあります。各タブで必要なオプションを選択または入力します。「Insert」ボタンをクリックして、キーストロークの組合せにキーまたはアクションを追加します。
左側のペインのリストに選択内容が表示されます。キーストロークの組合せの順序を変更するには、項目を選択し、上矢印または下矢印をクリックしてその項目を移動します。項目を変更するには、その項目を選択し、「Edit」をクリックして「Fields」ダイアログ・ボックスを表示します。項目を削除するには、その項目を選択し、「Delete」をクリックします。
コントロール
|
現在のフィールド/アクション
|
|
「Fields」タブ
|
Select fields to insert
|
キーストロークの組合せに追加する資格証明項目をリストから選択します。
・ UserID
・ パスワード
・ Third Field
・ Fourth Field
・ New Password
・ Confirm New Password
「Up」を使用します。 および「Down」 矢印で、フォーム内を適切にナビゲーションできます。
|
|
|
Insert this character after field
|
フィールドへの入力後に自動的に挿入するキーストロークを選択します:
・ None (キーストロークなし)
・ Tab (カーソルを進める場合)
・ Enter (フォームを送信する場合)
後述の「Special Keys」を参照してください。
|
|
|
Position
|
テキスト入力フィールドの先頭文字の行座標および列座標を入力します。
列番号が可変の場合(たとえば、ほとんどのUNIXシステムには、パスワードを変更すると「New Password」および「Confirm Password」フィールド・ラベルの一部として影響を受けるユーザー名があります)、Logon Managerが常に正しい場所に資格証明を取り込むことができるように、正規表現を使用してフィールド・ラベルの可変部分にワイルドカードを指定できます。
|
|
|
Insert
|
キーストロークの組合せに現在の選択内容を追加します。
|
|
「Delay」タブ
|
Length of delay (秒単位)
|
キーストローク間の遅延を入力または選択します。
|
|
「Text」タブ
|
Enter text to insert
|
キーストロークの組合せに追加するリテラル・テキストを入力します。
|
|
|
Insert
|
キーストロークの組合せにテキストを追加します。
|
|
「Special Keys」タブ
|
Category/Key
|
左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Page Down]など)を選択します。
|
|
|
Insert
|
キーストロークの組合せにキーストロークを追加します。
|
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
または
・ 左側のペインで、「Applications」を選択し、ホスト・アプリケーションを選択します。
・ 右側のペインで、「General」タブをクリックします。
・ 次のいずれかを実行します。
o リストからログオン・フォームを選択し、「Edit」をクリックします。
または
o 「Add」をクリックして、新しいフォームを構成します。
「Host/Mainframe」フォーム構成ダイアログ・ボックスが開き、「General」タブが表示されます
2. 「Fields」リスト・ボックスで、「Edit」をクリックします。
「Fields」タブ(ホストまたはメインフレーム・アプリケーションの構成用)
「Fields」タブを使用して、エージェントがフォームのフィールドとやり取りする方法を定義します。
また、フィールドの先頭文字の場所(行番号および列番号)を指定する必要もあります。テキストの開始行番号および開始列番号を検索するには、セッション・ウィンドウの最下部にあるステータス・バーのカーソル位置インジケータを使用します。エントリを完了した後、「OK」をクリックします。
詳細は、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。
コントロール
|
Fields/Actions
|
フィールド・タイプを選択します。
・ UserID
・ Password/OldPassword
・ Third Field
・ Fourth Field
・ New Password
・ Confirm New Password
「Up」を使用します。 および「Down」 矢印で、フォーム内を適切にナビゲーションするようにフィールドを並べ替えます。
「Edit」をクリックして、エージェントがフォームをナビゲートする方法を指定します。
|
「Matching」タブ(ホストまたはメインフレーム・アプリケーションの構成用)
「Matching」タブは、画面がログオンまたはパスワード変更フォームであることを示すテキストを指定する場合に使用します。
コントロール
|
Row
|
テキストの先頭文字の行番号(画面の垂直座標)を入力します。
Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この値はカーソル位置を基準としており、負の値(カーソルより上の行を示す)またはアスタリスク(*)(画面の任意の行を示す)になることがあります。
|
|
Column
|
テキストの先頭文字の列番号(画面の水平座標)を入力します。
Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この設定は画面の任意の行を示すアスタリスク(*)になることがあります。
|
|
Text to Match
|
エージェントがこのフォームを特定するために使用するリテラル・テキスト文字列、その文字列の先頭文字の画面座標(行番号および列番号)を表示します。「Add」をクリックして新しいテキスト識別子を指定するか、「Edit」をクリックして既存のものを変更します。
|
「Options」タブ(ホストまたはメインフレーム・アプリケーションの構成用)
この画面は、ホストまたはメインフレーム・アプリケーションの動作を構成する場合に使用します。
このタブを表示するには、次のいずれかを実行します。
a. 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
または
a. 左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。
b. 右側のペインで、「General」タブをクリックします。
c. リストからログオン・フォームを選択し、「Edit」をクリックします。
d. 「Host/Mainframe」フォーム構成ダイアログ・ボックスで、「Options」タブを選択します。
コントロール
|
Field Delay
|
エージェントが資格証明を送信するまでに待機する時間をミリ秒単位で入力します。
|
|
Screen type
|
アプリケーションに固定画面またはスクロール画面があるかどうかを指定します。
|
|
Column position of cursor
|
資格証明の入力を開始する前にカーソルが配置される列を指定します。
ログオンまたはパスワード変更を開始する場合のテキスト・カーソルの開始列番号を入力します。
この位置が可変の場合(たとえば、ほとんどのUNIXシステムには、パスワードを変更すると「New Password」および「Confirm Password」フィールド・ラベルの一部として影響を受けるユーザー名があります)、Logon Managerが常に正しい場所に資格証明を取り込むことができるように、フィールド・ラベルの可変部分にワイルドカードを指定できます。
|
|
Adhere to logon loop grace period
|
ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
|
|
Auto-Recognize
|
エージェントにアプリケーションを自動認識させる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
|
|
Auto-Submit
|
資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
|
「Bulk Add」タブ
詳細は、「初回使用(バルク追加)」を参照してください。
バルク追加へのアプリケーションの指定
1. 左側のペインで「Applications」をクリックし、右側のペインで「Bulk-Add」タブをクリックします。
2. 「追加」をクリックします。「Select Application」ダイアログ・ボックスが表示されます。
3. このグループに追加するアプリケーションを選択します。(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)
4. 「OK」をクリックします。
5. 「Version Stamp」をyyyymmdd形式で入力または編集します(たとえば、2012年6月15日の場合は20120615)。この日付が、指定したエージェントが設定を完了した最終日付より後の場合は、新しいログオンを追加するための設定ウィザードが起動します。
選択したアプリケーションの使用
参照または編集するログオンを選択するには、次の手順を実行します。
1. 左側のペインで「Applications」をクリックし、右側のペインで「Applications List」タブをクリックします。
2. リストからアプリケーションを選択し、「Edit」をクリックします。
または
1. 左側のペインで、「Applications」アイコンの横のプラス記号(+)をクリックし(または「Applications」をダブルクリックして)、構成済のログオンを表示します。
2. 次のいずれかを実行します:
・ ログオン・アイコンをクリックして選択します。右側のペインに、「General」タブが表示されます。
または
・ ログオン・アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。
|
New Form
|
選択したアプリケーション・ログオンの新しいフォームを追加します。選択したアプリケーション・タイプに応じた構成ダイアログが表示されます。
|
|
Delete
|
選択したログオンを削除します。
|
|
Make copy
|
選択したログオンを複製します。
|
|
Rename
|
選択したログオンの名前を変更します。
|
|
Publish…
|
「Publish to Repository」ダイアログを起動する場合に選択します(すべての公開可能な項目から選択し、その公開先のリポジトリを選択できます)。
|
|
Publish To
|
特定の項目の公開先のリポジトリを指定する場合に選択します。
|
「General」タブ(選択したアプリケーション用)
「General」タブは、選択したアプリケーションのフォームまたはフィールドの構成を追加または変更する場合に使用します。
|
Description
|
Agent Logon Managerの「Description」フィールドに表示されるオプションのテキスト・コメントを入力します。たとえば、"Email."=とします。
|
|
Reference
|
Agent Logon Managerの「Reference」フィールドに表示されるオプションのテキスト・コメントを入力します。たとえば、バージョン1.0とします。
|
|
クライアント側では、このフィールドは読取り専用です。
|
|
|
Add
|
選択したアプリケーションの新しいフォームを追加します。選択したアプリケーション・タイプに応じた構成ダイアログ・ボックスが表示されます。
|
|
Edit
|
既存のログオン・フォームを変更します。「Forms」ウィンドウからフォームを選択し、「Edit」をクリックします。選択したアプリケーション・タイプに応じた構成ダイアログが表示されます。
|
|
Delete
|
フォームを削除します。「Forms」ウィンドウからフォームを選択し、「Delete」をクリックします。リストにフォームが1つのみ表示されている場合は、そのフォームを削除するとアプリケーションが完全に削除されます。
|
|
Add [Edit] Notes
|
オプションのコメントまたはドキュメントを入力または変更します。
|
|
Deny response
|
エージェントがこのフォームに応答しないようにする場合は、このボタンを選択します。
|
|
テンプレートでいずれかのフォームを無効にすると、すべてのテンプレートが無効になります。
|
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「General」タブをクリックします。
「Bulk Add」タブ(選択したアプリケーション用)
このタブは、現在選択しているアプリケーションの特殊な構成の場合に使用します。 詳細は、「「Bulk-Add」タブ」(全般)を参照してください。
|
Enable Bulk-Add capability for this application
|
このアプリケーションをバルク追加に含める場合に選択します。
|
|
Confirm UserID during Bulk-Add
|
バルク追加の実行時、ユーザーにユーザー名を確認するよう求める場合に選択します。
|
|
Confirm Password during Bulk-Add
|
バルク追加の実行時、ユーザーにパスワードを確認するよう求める場合に選択します。
|
|
Confirm Third Field during Bulk-Add
|
バルク追加の実行時、ユーザーに3番目のフィールド情報を確認するよう求める場合に選択します。
|
|
Confirm Fourth Field during Bulk-Add
|
バルク追加の実行時、ユーザーに4番目のフィールド情報を確認するよう求める場合に選択します。
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「Bulk Add」タブをクリックします。
「Authentication」タブ(選択したアプリケーション用)
このタブを使用して、選択したアプリケーションの最小の認証グレードを設定します。
選択したアプリケーションにLogon Managerがログオンするには、使用しているプライマリ・ログオン方法の認証グレードがこの値以上である必要があります。
エンド・ユーザーのプライマリ・ログオン方法の認証グレードが、このアプリケーションに設定されている最小グレードより低い場合、ユーザーがアプリケーションへのアクセスをリクエストすると、Logon Managerはユーザーに対して、より高いグレードでの認証を要求します。要求されたグレードでのログインが成功した場合にのみ、アクセス権が付与されます。
プライマリ・ログオン方法のオーセンティケータ・グレードを設定するには、「Authenticator Grade」設定を使用します。
|
Minimum Authentication Grade
|
エンド・ユーザーのプライマリ・ログオン方法に設定する必要がある最小認証グレードの数値を選択または入力します。デフォルトは1です。
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「Authentication」タブをクリックします。
「Error Loop」タブ(選択したログオン用)
「Error Loop」タブ(選択したアプリケーションの下)は、個々のアプリケーションの「Logon Error (Error Loop)」ダイアログ・ボックスの外観および動作を制御する場合に使用します。
コントロール
|
Logon timeout (sec.)
[TimeOut]*
|
「Logon Error」ダイアログ・ボックスを表示するまでの連続的なログオン試行の間の最大時間(秒)。デフォルトは30です。
|
|
ログオン・タイムアウトをゼロ(0)に設定した場合は、ログオン・エラー(入力した資格証明が不適切など)によって「Logon Error」ダイアログ・ボックスが表示されることはありません。
|
|
|
Max. Retries
[MaxRetry]*
|
「Logon Error」ダイアログ・ボックスが表示されるまでに、(初回の試行後に)許可される再試行の最大回数。デフォルトは0です。
|
|
Hide "Confirm Password"
[HideConfirmPW]*
|
ユーザーがパスワードを入力した後に「Confirm Password」ダイアログ・ボックスが表示されないようにするかどうか。デフォルトは「No」です。
|
|
*(グローバル・レジストリの該当部分は大カッコで囲んで示されています。)
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ ・アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「Error Loop」タブをクリックします。
「Password Change」タブ(選択したアプリケーション用)
「Password Change」タブは、エージェントによるパスワード変更の管理方法を制御するためのオプションを設定または変更する場合に使用します。
エージェントは、表示される場所が同じ画面かダイアログ・ボックスの別のタブかによって、ログオン・フィールドとパスワード変更フィールドを区別します。このタイプの画面で、エージェントは「Action Chooser」ダイアログ・ボックスを介してパスワード変更かログオンを選択することをユーザーに求めます。ユーザーがパスワードを変更する必要がない期間を設定できるため、その期間、「Action Chooser」は表示されません。
コントロール
|
パスワード変更オプション
|
|
Password Change Dialog Behavior
|
アプリケーションがエンド・ユーザーにパスワード変更を求めたときに、エージェントがどのように応答するかを制御します。オプションは、次のとおりです。
・ Prompt User: パスワード変更ウィザードに従うようにユーザーに求めます。
・ Manual: ユーザーに新しいパスワードを選択するように求めます(パスワード変更ウィザードでパスワードが自動生成されることはありません)。
・ Manual w/Auto Option: ユーザーに新しいパスワードを選択するように求めます(ただし、パスワード変更ウィザードでパスワードの自動生成が提示されます)。
・ Auto w/Manual Option: 自動的に新しいパスワードを生成します(ただし、ユーザーは事前に新しいパスワードを選択できます)。
・ Quietly Generate and Submit Password: ユーザーに入力を求めることなく、パスワードを生成および送信します。
|
|
Prevent Ability to Cancel
|
有効にした場合、パスワード変更ダイアログの「Cancel」ボタンが無効になり、ユーザーがパスワード変更プロセスを取り消すことができなくなります。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
Enable Password verify pop-up dialog
|
パスワード変更を検証するポップアップ・ダイアログ・ボックスを表示する場合にこのボックスを選択します(このボックスでは、パスワードが変更されたことを再度確認します)。
|
|
Lock focus to password change dialog
|
有効にした場合、デスクトップ・フォーカスがパスワード変更ダイアログにロックされ、ユーザーがダイアログを完了または終了するまでターゲット・アプリケーションと対話しないようにします。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
Password Generation Policy
|
パスワード生成ポリシーを選択します。複数のアプリケーションをポリシーにサブスクライブするには、「ポリシー・サブスクライバ」を参照してください。
|
|
Credential Sharing Group
|
資格証明共有グループを選択します。複数のアプリケーションをパスワード・グループに割り当てるには、「資格証明共有グループ」を参照してください。
|
|
パスワードの期限切れオプション
|
|
Enable Password Expiration
|
このチェック・ボックスは、指定した期間後にユーザーにパスワード変更を求める場合に選択します。
|
|
Number of days until password expires
|
ユーザーのパスワードの有効日数を入力または選択します。
|
|
Run this command when the password expires
|
「Number of days」設定が経過した後でユーザーがログオンしようとしたときに呼び出すフルパスおよびコマンドを入力します(または「Browse」をクリックして、実行可能ファイルの場所を指定します)。
(たとえば、C:\Program Files\PassChange\passchange.exeとします。)
|
|
ログオン・チューザのオプション
|
|
Bypass Logon Chooser
|
パスワード変更を開始するときに、ログオン・チューザを表示するかどうかを制御します。有効にした場合、選択した条件を満たすとすぐにパスワード変更ダイアログが表示されます。使用可能な条件を次に示します。
オプション:
・ 最新のログオンが同じアプリケーション・インスタンスに対するものだったとき。
・ 同じアプリケーションへの最新のログオンが特定時間内に発生したとき。
o 2番目の条件を選択する場合は、タイムアウトの長さを秒単位で指定します。有効な範囲は、1から999999秒です。
|
|
Bypass Logon Chooser for*
|
前述のいずれかの方法でログオン・チューザをバイパスする場合は、エージェントがバイパスする形式を指定します。
オプション:
・ パスワード変更フォームおよびログオン・フォーム。
・ パスワード変更フォームのみ。
これは11.1.1.5.0からの新しい設定です。
|
|
アクション・チューザの猶予期間
|
|
Days
|
エージェントが「Action Chooser」ダイアログ・ボックスを表示しない猶予期間の長さ(日単位)を入力します。
|
|
Automatically proceed with password change
|
有効にした場合、猶予期間が切れてパスワード変更が自動的に起動すると、アクション・チューザはバイパスされます。
|
|
このオプションは、猶予期間の指定後にのみ使用できます。
|
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します。
・ アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「Password Change」タブをクリックします。
「Events」タブ(選択したアプリケーション用)
このタブを使用して、ログオン・イベントの追加およびログオン・イベントを取り巻く環境の構成を行います。
|
ログオン・イベントの追加
|
|
Run this command when a logon for this application is added
|
この設定では、アプリケーションの「Add Logon」ウィザードの完了後、すぐに実行するプロセス(exe、Web、スクリプトなど)を定義できます。
たとえば、この設定を使用すると、資格証明をエージェントに入力した直後にパスワード変更アプリケーションを起動して、エージェントがアプリケーション・パスワードをただちに変更できるようになります。
入力するコマンドを検索するには、「Browse」ボタンをクリックします。
|
|
ログオン前のイベント
|
|
Run this command before a logon for this application is used
|
この設定では、各ログオン・インスタンスの前に発生するログオン前のタスクを定義でき、現在のログオン試行についての情報をこのプロセスから送信できます。結果として生成された終了コードの情報は、資格証明の送信を続行するか、ログオン・プロセスを中断するかの指示をLogon Managerに出します。
たとえば、APIをコールするスクリプトを実行したり、アプリケーションがログオンに必要な状態にあることを確認するタスクを実行したり、許可または禁止アプリケーションのリストでユーザー名を確認するとします。
入力するコマンドを検索するには、「Browse」ボタンをクリックします。
|
|
Failure Return Code
|
エージェントは、このフィールドに設定されている数以上のエラーを返しているログオンを無視します。設定を高くすると、アプリケーションが複数のエラー・コードを返すことができるようになります。この設定のデフォルトは1です。
|
|
Time out
|
タスクの完了をエージェントが待機する時間をミリ秒単位で指定します。この設定は、1.000ミリ秒から5.000ミリ秒(デフォルト)まで増加します。タスクが指定された時間内に完了しなかった場合、タスクは終了し、ログオンは発生しません。
|
|
|
実行するアプリケーションのフルパスを指定し、そのパスを二重引用符で囲むことをお薦めします。たとえば、C:\Program Files\My Tools\checktool.exeとします。
|
「Miscellaneous」タブ(選択したアプリケーション用)
このタブは、現在選択しているアプリケーションの特殊な構成の場合に使用します。
|
その他の設定
|
|
Allow Masked Fields to Be Revealed
|
ウィザードおよびプロパティ・ページのマスクしたフィールドに対して「Reveal」ボタンを有効にする場合に選択します。
|
|
Force Reauthentication
|
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに求める場合に選択します。
|
|
Auto Submit
|
資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
|
|
Service Logon
|
Windowsサービス(ユーザー領域ではなくシステム領域にあるサービス)として動作するアプリケーションをエージェントで検出する場合に選択します。
|
|
Auto-Recognize
|
エージェントにアプリケーションおよびWebサイトを認識させ、ユーザーを自動的にログオンさせる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
この設定がチェックでなく緑色のボックスの場合は、ユーザーがLogon Managerからこの設定を構成できることを意味します。
|
|
Mask Third Field
|
アプリケーション・ログオンの3番目のフィールドをマスクする場合に選択します。この設定は、「New Logon」プロパティ、「Error Loop Dialog」、「Logon Properties」および「FTU Entry」の各ページの3番目のフィールドの外観に影響します。このボックスはデフォルトで選択されています(3番目のフィールドはマスクされます)。
|
|
Mask Fourth Field
|
アプリケーション・ログオンの4番目のフィールドをマスクする場合に選択します。この設定は、「New Logon」プロパティ、「Error Loop Dialog」、「Logon Properties」および「FTU Entry」の各ページの4番目のフィールドの外観に影響します。このボックスはデフォルトで選択されています(4番目のフィールドはマスクされます)。
|
|
Prohibit disabling the addition of new logons
|
このアプリケーションの「New Logon」ダイアログ・ボックスで「Disable」ボタンをアクティブにするかどうかを指定します。有効にした場合、「Disable」ボタンは非アクティブになり、エージェントによって自動プロンプトが表示された場合に、ユーザーはこのアプリケーションで新しいログオンを追加できなくなります。無効にした場合、「Disable」ボタンをクリックすると、エージェントの設定ダイアログの「Exclusions」リストにこのアプリケーションが追加されます。
オプション:
・ Yes
・ No (デフォルト)
この設定は、バージョン11.1.1.1.0で変更されました。
|
|
Prohibit canceling the addition of new logons
|
このアプリケーションの「New Logon」ダイアログスで「Cancel」ボタンをアクティブにするかどうかを指定します。有効にした場合、「Cancel」ボタンは非アクティブになり、エージェントによって自動プロンプトが表示された後に、ユーザーはこのアプリケーションで進行中のログオンの追加を取り消すことができなくなります。無効にした場合、「Cancel」ボタンをクリックすると、次回このアプリケーションが検出されるまで、ログオン追加が遅延されます。
オプション:
・ Yes
・ No (デフォルト)
|
|
Allow creation of multiple accounts during credential capture
|
ユーザーが「New Logon」ダイアログ・ボックスに資格証明の別のセットを追加可能になるチェック・ボックスを、有効にするかどうかを指定します。
すべてのテンプレートで、この設定は同じ名前のグローバル・エージェント設定をオーバーライドします。
|
|
File extension (for Icon)
|
ログオンに関連付けられているWindowsファイルの拡張子を入力します。エージェントに対して、構成にアイコンをマップするように指示します。
|
|
ConfigName
|
新しいログオンの初期構成名(Windowsアプリケーションのみ)を作成するためのテキストが含まれているウィンドウおよびコントロールを選択する場合は「Choose」をクリックします。
|
|
UserID Field Label
|
エージェントがユーザー名/IDフィールドに使用するテキスト・ラベルを入力します。
|
|
Password Field Label
|
エージェントがパスワード・フィールドに使用するテキスト・ラベルを入力します。
|
|
3rd Field Label
|
3番目のログオン・フィールドを表示する際にエージェントが使用するテキスト・ラベルを入力します。
|
|
4th Field Label
|
4番目のログオン・フィールドを表示する際にエージェントが使用するテキスト・ラベルを入力します。
|
|
ログオン・チューザ
|
|
Logon chooser columns
|
「Choose」を選択して「Logon Chooser Columns」ウィンドウを開きます(「Logon Chooser」ダイアログ・ボックスに表示可能な列のリストが含まれます)。
|
|
3番目と4番目のフィールドは、前述の設定でこれらのマスクを選択していない場合にのみ選択できます。
|
|
|
SendKeysの設定
|
|
Delay Char
|
この設定を使用して、SendKeysでの各クリックの間にミリ秒単位で遅延を追加します(これにより、資格証明の送信が遅くなります)。この設定は、資格証明の入力を認識するために追加の時間を必要とするアプリケーションで役立ちます。
|
|
ログオン・ループ猶予期間
|
|
None
|
ログオン・プロンプトの間に猶予期間がありません。初回のログオン後、ユーザーは自動的にログオンされます。(デフォルト)
|
|
Prompt
|
ログオン猶予期間が期限切れでない場合は、アプリケーションに再度ログオンするかどうかを尋ねるプロンプトが表示されます。
|
|
Silent
|
エージェントは猶予期間が期限が切れるまでアプリケーションを無視し、猶予期間が切れるまで資格証明を取り込みません。
|
|
Minutes
|
猶予期間の長さを分単位で設定します。
|
|
Reset for each process
|
有効にした場合、新しいプロセスが起動されるたびに猶予期間はリセットされます。これによって、猶予期間が期限切れでない場合も、アプリケーションを閉じたり再起動するときに、Logon Managerによってユーザーはアプリケーションにログオンします。
無効にした場合は、猶予期間が新しいプロセスごとにリセットされることはありません。猶予期間が期限が切れるまで、Logon Managerは再起動されたアプリケーションにユーザーのログオンを試行することはありません。(これが無効に設定され、猶予期間が期限切れでない場合、「Prompt/Silent」オプションが「Prompt」に設定されていると、ユーザーは再度ログオンするように要求されます。)
|
|
資格証明の取得モード
|
|
次のいずれかのモードを使用して、資格証明の取得の動作を構成します。
|
|
・ 資格証明のサイレント取得モードは、SendKeysを必要とするアプリケーションとは互換性がありません。このため、ホスト/メインフレーム・アプリケーションに対しても、SendKeysを使用するWebまたはWindowsアプリケーションに対してもこのモードを使用することはできません。
・ ユーザー名とパスワードが不明瞭化されるアプリケーションに対しては、資格証明のサイレント取得を使用しないでください。
|
*これはバージョン11.1.1.5.0からの新しい設定です。
|
|
Default to global agent setting
|
このアプリケーションが、初期資格証明の取得グローバル・エージェント設定と同じ値を使用するように指定します。
次のいずれかの設定を選択すると、グローバル・エージェント設定をオーバーライドします。
|
|
Do not capture silently
|
「New Logon」ダイアログ・ボックスを表示します(ユーザーは資格証明を手動で入力します)。
|
|
Capture, but do not inform user
|
エージェントは、ユーザーが入力したとおりに資格証明を取得しますが、その処理に関する情報をユーザーに表示することはありません。
|
|
Capture, and inform user with balloon tip
|
エージェントは、ユーザーが入力したとおりに資格証明を取得し、システム・トレイの近くにバルーン・ヒントを表示して処理中にユーザーに情報を表示します。
|
|
Capture, and present New Logon dialog box
|
エージェントは、ユーザーが入力したとおりに資格証明を取得し、システム・トレイの近くにバルーン・ヒントを表示して処理中にユーザーに情報を表示します。資格証明の取得後に、エージェントはユーザーの入力があらかじめ設定された状態の「New Logon」ダイアログ・ボックスを表示します。ユーザーは受入れ、変更、取消、無効化のいずれかを実行できます。
|
|
Silent capture timeout
|
ユーザーが資格証明を送信した後に、エージェントがアカウントの作成を待機する時間(ミリ秒単位)。
エージェントがログオンの成功または失敗を判定する前にこのタイムアウトに達すると、エージェントは取得した資格証明を却下します。
|
このタブを表示するには、次の手順を実行します。
1. 次のいずれかを実行します:
・ アプリケーションを選択します。
または
・ 新しいアプリケーションを構成します。
2. 右側のペインで、「Miscellaneous」タブをクリックします。
「Security」タブ - ロール/グループ・サポート(選択したアプリケーション用)
このタブは、現在選択している構成アイテムへのアクセス権を設定する場合に使用します。次のアイテムへのアクセス権を割り当てることができます。
・ アプリケーション・ログオン(関連付けられた資格証明共有グループを含む)。
・ パスワード生成ポリシー。
・ グローバル・エージェント設定。
・ パスフレーズ質問セット。
・ 除外リスト。
|
|
Active Directoryドメインのセキュリティを向上させるには、ドメイン管理者の名前を右クリックし、「DENY」を選択します。これにより、アプリケーション・テンプレートがドメイン管理者に自動的に送信されることはなくなります。
|
コントロール
|
Directory
|
ターゲット・ディレクトリ・サーバーを選択します。
|
|
アクセス情報:
|
|
Name
|
このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
|
|
ID
|
ユーザー・アカウント名。
|
|
Access
|
ユーザーまたはグループが、現在選択している項目に対して読取り/書込みアクセス権を持つのか、または読取り専用アクセス権を持つのかを示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Read」または「Read/Write」を選択します。
|
|
アクション:
|
|
Copy Permissions To…
|
「Select Application」画面を表示します。追加するアプリケーションを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックして選択を確定します。
|
|
Add
|
「Add User or Group」ダイアログ・ボックスを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。「OK」をクリックして選択を確定します。
|
|
Remove
|
選択したユーザーまたはグループをリストから削除します。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックして選択を確定します。
|
「Provisioning」タブ - ロール/グループ・サポート(選択したアプリケーション用)
このタブにアクセスするには、「Applications」を展開し、任意のアプリケーションをダブルクリックします。「Provisioning」タブをクリックします。
このタブから、権限の追加および削除を行うことができます。また、権限に対するアクセス権のレベル(アプリケーションの追加/変更/削除)も選択できます。
コントロール
|
Directory
|
ターゲット・ディレクトリ・サーバーを選択します。
|
|
アクセス情報:
|
|
Name
|
このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
|
|
ID
|
ユーザー・アカウント名がリストされます。
|
|
Access
|
ユーザーまたはグループに付与されている権限(ログオンの追加、変更または削除)を示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Add Logon」、「Modify Logon」または「Delete Logon」を選択します。
|
|
アクション
|
|
Copy permissions to
|
このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに簡単に適用できます。このボタンをクリックすると、すべてのアプリケーションが示されているダイアログが表示されます。これらのプロビジョニング権限のコピー先のアプリケーションを選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックします。
|
|
Add
|
「Add User or Group」ダイアログ・ボックスを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。
|
|
Remove
|
選択したユーザーまたはグループをリストから削除します。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
|
「Add User or Group」ダイアログ・ボックス
「Select User or Group」ダイアログ・ボックスは、使用しているディレクトリ・サーバーによって異なります。
・ LDAP
・ Active Directory
・ AD LDS (ADAM)
LDAP
現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログ・ボックスを使用します。
コントロール
|
Search Base
|
ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。ディレクトリ・ツリーを参照するには場所を入力するか、「Change」をクリックします。
|
|
Change
|
検索用のベース・ディレクトリを参照するために「Select Search Base」ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了したら、「OK」をクリックします。
|
|
Search
|
ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
|
|
Users or Groups
|
検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。
|
Active Directory/AD LDS (ADAM)
現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログ・ボックスを使用します。
コントロール
|
List Names From
|
Active Directoryのドメインまたはサーバーを選択します。
|
|
Names
|
選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
|
|
Add
|
「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします。
|
|
Members
|
「Names」リストでグループを選択した場合は、「Global Group Membership」ダイアログ・ボックスが表示されます(このダイアログ・ボックスには、選択したグループのメンバーがリストされます)。
|
|
Search
|
特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログ・ボックスが表示されます。
|
|
Add Names
|
この時点までに追加したユーザーまたはグループの名前が表示されます。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。
|
「Delegated Credentials」タブ(選択したアプリケーション用)
このタブは、ユーザーがこのアプリケーションの自分の資格証明を他のユーザーに委任できるかどうか、委任の条件を指定する場合に使用します。この機能は、1人のユーザー(委任元)が一時的に一部の責任を別のユーザー(委任先)に割り当てる場合(休暇、特定の期限に間に合わせる場合など)に便利であり、委任先は委任元の職務を永久に実行するわけではありません。
委任元は、委任された資格証明を失効させる場合に認証を受ける必要があります。失効を完了するには、委任先も認証を受ける必要があります。これによって、資格証明を委任されていない状態に戻すためのリポジトリの同期が行われます。
委任元だけが委任された資格証明を失効させることができます。委任元の不在時に、なんらかの理由で委任先の資格証明を失効させる必要がある場合は、委任先のアカウントをロックし、強制的にパスワードをリセットすることができます。
委任された資格証明はLogon Managerクライアントのインストール時に、拡張インストールのセットアップ・モードの選択の1つとしてインストールされます。
|
Allow users to delegate credentials for this application
|
ユーザーが別のユーザーへの資格証明の委任を許可する場合に、このボックスを選択します。このボックスを選択すると、次の構成オプションが使用可能になります。
デフォルトは「Disabled」です。
|
|
Allow reveal password
|
委任先による委任元のパスワードの確認を許可するかどうかを指定します。
デフォルトは「Disabled」です。
|
|
Maximum number of delegation days
|
委任先がこのアプリケーションの委任元の資格証明を保持する日数の最大値を指定します。
デフォルトは15です。
|
|
Permitted usage
|
委任先がアプリケーションにアクセスできる日、および各日の時間間隔を指定します。
|
Oracleリポジトリでの委任済資格証明の設定
リポジトリには、Oracle Internet Directory (OID)、Oracle Unified Directory (OUD)またはOracle Virtual Directory (OVD)を使用できます。委任済資格証明をこれらのOracleリポジトリのいずれかと使用するには、次の構成手順を実行します。
1. Provisioning Gatewayサービス・フォルダ(通常は、"%PG_SERVER%\Service")にナビゲートします。
2. web.configファイルをテキスト・エディタで開きます。ファイルの末尾のあたりに次の2行があります。
・ <add key="LDAP_Username" value="" />
・ <add key="LDAP_Password" value="" />
3. これらの行のvalue属性に、次の実行権限を持つディレクトリ・アカウントのユーザー名およびパスワードを設定します(このアカウントは、管理者アカウントである必要はありません)。
・ ロケータ・コンテナ内のオブジェクトの読取り。
・ COコンテナ内のオブジェクトの読取り。
・ 「People」コンテナとそのサブコンテナ内のオブジェクトの読取りおよび書込み。
4. これらの資格証明を格納しているweb.configファイルを暗号化します。
a. コマンド・プロンプトから、次のディレクトリに移動します。
%Windows%\Microsoft.NET\Framework\v2.0.50727
b. 次のコマンドを入力します。
aspnet_regiis -pef "appSettings" "C:\Program Files\Passlogix\v-GO PM\Service"
(Provisioning GatewayサーバーがC:\Program Filesフォルダにインストールされていることを前提とします)。
c. web.configファイルを開いて、appSettingsセクションが暗号化されていることを確認します。
INIファイルへのエクスポート
1. 選択したアプリケーション、およびすべてのパスワード・ポリシーとグループをentlist.iniファイル(アプリケーション・ログオンの保存場所)にエクスポートします。
2. 次のいずれかを実行します:
・ エクスポートするアプリケーションを選択し(複数のエントリを選択する場合は、[Ctrl]キーまたは[Shift]キーを押しながらクリックし)、「OK」をクリックします。
または
・ 「Export All」をクリックして、リストされたアプリケーションをすべてエクスポートします。
3. 選択したアプリケーションがバルク追加に対応している場合は、「Create First-Time-Use file」を選択して、バルク追加(ftulist.ini)ファイルを生成できます。
4. 「OK」をクリックします。「Export EntList file」ダイアログ・ボックスが表示されます。
5. そのファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。
6. 初回使用時のファイルの作成を選択した場合は、「Export First-Time Use」ダイアログ・ボックスが表示されます。ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)、「Save」をクリックします。
「Export EntList file」ダイアログの表示:
1. 「Applications」を右クリックし、ショートカット・メニューから「Export」を選択します。
または
1. 「File」メニューから「Export」を選択します。
EntListファイルのエクスポート
エクスポートしたアプリケーション構成ファイル(enlist.ini)をディスクに保存します。「Export EntList file」ダイアログは、「Export to INI file」ダイアログ・ボックスを使用してアプリケーション・ログオン情報をエクスポートする場合に表示されます。
1. そのファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。
2. 初回使用時のファイルの作成を選択した場合は、「Export First-Time Use」ダイアログ・ボックスが表示されます。ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)、「Save」をクリックします。
初回使用時のエクスポート
はじめて使用する場合のファイル(ftulist.ini)をディスクに保存します。「Export First-Time Use」ダイアログ・ボックスは、enlist.iniファイルへのアプリケーション・ログオン情報のエクスポート時に、初回使用ファイルを作成するときに表示されます。
1. ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)ます。
2. 「Save」をクリックします。
インポート/マージの競合
マージしたファイルに現在の構成の項目と同じ名前の項目が含まれている場合に「Import/Merge Conflict」ダイアログ・ボックスが表示されます。
・ インポートする項目を選択し、「OK」をクリックします。
選択した項目で、現在の同じ名前の項目が上書きされます。
「Override Settings」タブ(「Edit Template」ダイアログ・ボックス)
このタブは、テンプレートに基づくすべてのログオンで、このテンプレートが更新する設定を選択する場合に使用します。アプリケーション・ログオン構成のすべてのフォームに適用されるグローバル・オーバーライドを選択可能であり、また、個々のフォームで固有のオーバーライドを選択することもできます。
左側のペインには、アプリケーションおよびそのコンポーネント・フォームの階層が表示されます。
・ アプリケーションのグローバル・オーバーライド設定は、各アプリケーション・タイプの一般的な構成設定に対応しています。
・ フォーム固有の設定は、個々のログオンの構成コントロールに対応しています。
右側のペインに「Setting」の両タイプがリストされ、設定を行うアプリケーション構成ダイアログ・ボックスに対応した「Category」も表示されます。各設定の情報については、そのダイアログ・ボックスまたはタブを参照してください。
このタブを表示するには、次の手順を実行します。
1. 「Tools」メニューから「Manage Templates」を選択します。
2. 次のいずれかを実行します:
・ 新しいテンプレートを追加します。
または
・ 既存のテンプレートを選択し、「Edit」をクリックします。
3. 「Edit Templates」ダイアログ・ボックスで、「Overriding Settings」タブを選択します。
「Supply Info」タブ(「Edit Template」ダイアログ・ボックス)
このタブは、このテンプレートに基づくアプリケーション・ログオンを完成するために、管理者が指定する必要がある情報を指定する場合に使用します。すべての項目を選択するか、またはチェック・ボックスを選択して項目を個別に選択することができます。
アプリケーションの更新(テンプレートから)
このダイアログ・ボックスは、ログオンの作成後に変更されたテンプレートに基づいて、アプリケーション・ログオンを更新する場合に使用します。テンプレートを変更したログオンのみがリストに表示されます。更新するアプリケーションを選択し(複数のアプリケーションを選択する場合は[Shift]キーまたは[Ctrl]キーを押しながらクリックし)、「Update」をクリックします。
テンプレートのテスト
Oracle Enterprise Single Sign-On Administrative Consoleのテンプレート・テスト・マネージャ*では、作成したテンプレートを公開前に検証する簡単な方法が提供されています。これは、リポジトリおよび同期をバイパスして、エージェントを直接動作させます。このマネージャはテストを順を追って説明し、様々なポイントでアクションの実行を求め、結果に関する質問をします。質問に対する回答は、マネージャの次の手順に対する指示となります。
テンプレート・テスト・マネージャを使用するには、次のものが必要です。
・ Oracle Enterprise Single Sign-On Administrative Console
・ Logon Manager Agent
・ Oracle Enterprise Single Sign-On Administrative Consoleに追加されている、テスト対象のアプリケーション・テンプレート
・ Oracle Enterprise Single Sign-On Administrative Consoleに追加済のテンプレートを所有するアプリケーション
|
|
テンプレート・テスト・マネージャはWindowsアプリケーションのみをサポートします。
|
テンプレート・テスト・マネージャの使用
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 「Applications」メニューの下のテンプレートを右クリックし、「Test」を選択してテンプレート・テスト・マネージャを起動します。テスト中は、Oracle Enterprise Single Sign-On Administrative Consoleアプリケーション・ウィンドウが最小化され、テンプレート・テスト・マネージャにフォーカスが移動されます。
3. このマネージャのウィンドウの3つのセクションを見てみます。
・ 「Forms to be validated」セクションには、テスト用に選択したテンプレート(およびそのすべてのフォーム)の名前が含まれます。ステータス・アイコンが各名前の横に表示されて、そのステータスを示します。
o 
処理中
o 
成功
o 
失敗
・ 「Status Messages」セクションでテストのステータスが知らされます。
・ 「Interactions」セクションでは、テストを進めるために必要なアクションを実行するように求められます。ステータス・メッセージを監視し、対話的なプロンプトに従って進めます。
4. マネージャはエージェントがテンプレートを検出したかどうかを尋ねます。テストが成功した場合は、「Yes」をクリックし、「Finish」をクリックします。テストが成功しなかった場合は、次のうち検出に失敗した理由を最も適切に説明しているボタンをクリックします。
・ Yes, but also responds to other windows that should be ignored
・ No (any other reason)
5. 「Next」をクリックして、テンプレートのエラーを修正するための提案を受け取ります。
6. エージェントがテンプレートに正しく応答するまで、このプロセスを続行します。
7. 「Close」を選択してテンプレート・テスト・マネージャを停止し、Oracle Enterprise Single Sign-On Administrative Consoleに戻ります。
例
1. Oracle Enterprise Single Sign-On Administrative Consoleで、アプリケーション・テンプレートを選択し、それを右クリックし、「Test」を選択しました。テンプレート・テスト・マネージャが起動し、テンプレートのフォームが「Forms to be validated」セクションに表示されますが、エージェントは実行されていません。「Status Messages」セクションには、
「Waiting for the Logon Manager Agent…」と表示されます。これはエージェントがアクティブでないことを示しており、テストを開始するにはこれを起動する必要があります。このため、「Interactions」セクションに「Launch the Logon Manager Agent」というアクション・リクエストが表示されます。
2. エージェントを起動すると、ステータス・メッセージにテンプレート・テスト・マネージャがエージェントにテンプレートを公開中であることが示されます。「Actions」メッセージから、テスト中のテンプレートのアプリケーションを起動するように求められます。
3. アプリケーションの起動後に、エージェントはそれを検出して応答する必要があります(初回資格証明取得の構成に従って)。
4. 「Interactions」セクションで、検出段階であることが知らされ、「Does the Agent detect the window?」と質問されます。次のうち適切な応答を選択します。
・ Yes
・ Yes, but also responds to other windows that should be ignored
・ No
5. 「Next」をクリックします。
6. 「Yes」と応答した場合、次の画面の「Interactions」セクションでテストが正常に終了したことが示されます。チェック・アイコン 
が、テンプレート名の横に表示されます。
7. これ以外の回答で応答し、「Next」をクリックすると、マネージャから一連のトラブルシューティングのテストを行うように求められ、入力に基づいて提案が示されます。
8. テンプレートの変更に成功するまで、このプロセスを続行します。
9. 終了したら、「Close」をクリックします。
*このユーティリティはバージョン11.1.1.5.0から含まれています。
特定の環境用のLogon Managerの構成
次の項では、特定の環境をサポートするようにLogon Managerを構成する方法について説明します。
・ Windows認証
・ ディレクトリ・サーバー
・ データベース
・ ファイル・システム
・ Citrixサーバー
Windows認証用の構成
Logon Managerでは、プライマリ・ログオン方法(オーセンティケータ)としてWindows認証がサポートされており、真のシングル・サインオンが実現します。 エージェントでは、Windowsログオン資格証明を認証として使用できます。 Logon Managerでこれをサポートするには、管理者は2つの問題を認識している必要があります:
・ OSには128ビットの暗号化をインストールする必要があります。
・ 管理者はユーザー・レベルのプロファイルを有効にする必要があります。
|
|
Microsoft Windows XPでは、ユーザー・レベルのプロファイルのサポートは、インストール時に設定される基本機能の一部です。
|
128ビットの暗号化の確認
OSの暗号化の強度を確認するには、Microsoft Internet Explorerを起動して、「ヘルプ」→「バージョン情報」を選択します。「暗号強度」が128ビットである必要があります。
OSが128ビットでない場合は、Microsoftから更新版をダウンロードします。
http://www.microsoft.com/windows/ie/ie6/downloads/recommended/128bit/default.mspx.
エージェントの構成(ディレクトリ・サーバー同期用)
ここでは、リポジトリとしてディレクトリ・サーバーを使用するようにLogon Managerを構成するために必要な設定について説明します。構成は、サポートされているすべてのディレクトリ・サーバーで同様ですが、相違点についても説明しています。
・ Logon Managerによるディレクトリ・サーバー・リソースの使用方法の詳細は、「ディレクトリ・サーバー同期サポート」を参照してください。
・ 関連するレジストリ・エントリの詳細は、「グローバル・エージェント設定」を参照してください。
|
|
LDAP AUIとLDAP Directory Server拡張の両方がインストールされている場合は、AUI\LDAPとExtensions\SyncManager\Syncs\%LDAP%の両方に値が存在する必要があります。
|
1. Logon Managerがサーバーを指すようにします。
2. 次のいずれかを実行します:
・ 左側のペインの「Global Agent Settings」から、レジストリ・エントリの既存の設定を選択します。
・ 設定の保存済セットをインポートします(「File」→「Registry」→「Import」)。
・ レジストリ設定の新しいセットを作成します(「Insert」→「Global Agent Settings」)。
3. Oracle Enterprise Single Sign-On Administrative Consoleの左側のペインで、設定のセットを選択して開き、「Synchronization」を選択して開いて(必要に応じて、適切な拡張を追加します)、適切な拡張を選択して開いた後、「Servers」を選択して開きます。
4. 右側のペインで、「Servers」を選択し、「…」ボタンを選択した後、サーバー名またはIPアドレスを入力して「OK」をクリックします。
|
|
Microsoft Active Directoryサーバーの場合(アプリケーション・モード以外):
・ Active Directory拡張に対してサーバーが入力されておらず、ユーザー・アカウントがActive Directoryドメインにある場合は、Logon Managerでは、サーバーの検出にADドメイン・リソースが使用されます。グローバル・エージェント設定に1台以上のサーバーが指定されている場合は、Logon Managerでは、サーバーの検出に「Servers」リストが使用されます。
・ 特に構成されていないかぎり、Logon Managerは、ローカルなサブネットに割り当てられている優先ドメイン・コントローラの名前をドメイン・ネーム・サーバー(DNS)に問い合せます。
・ 複数のサーバーでActive Directoryネットワークを構築している場合は、レプリケーションを有効にして、Logon Managerスキーマ拡張および関連オブジェクトが含まれるようにしてください。これで、Logon Managerでは必ず接続先の各サーバー上でSSO情報が検索されるようになります。
・ Microsoft Active Directoryサーバーに対して1台以上のサーバーが指定されている場合は、IPアドレスではなくサーバー名を使用します。
Microsoft Active Directoryサーバーのアプリケーション・モードの場合:
・ AD LDS (ADAM)サービスに対して、少なくとも1台のサーバーを指定する必要があります。
・ portパラメータ(myserver.com:9890など)を使用して、単一サーバーで実行しているAD LDS (ADAM)の特定インスタンスを指定します。
・ アプリケーション・テンプレートは、AD LDS (ADAM)インスタンスのrootにではなく、特定のOUに存在する必要があります。
|
5. Logon Managerがユーザー・パスを指すようにします。
6. 左側のペインで、適切な拡張を選択してから、次のいずれかを実行します。
・ LDAP拡張の場合は、「Required」を選択します。
・ Active Directory拡張の場合は、「Advanced」を選択します。
7. 右側のペインで、「User Paths」、「…」ボタンの順に選択し、ユーザー・パスを入力して「OK」をクリックします。
8. SSLを有効化または無効化します。
9. 左側のペインで、適切な拡張を選択します。
10. 右側のペインで、次のようにSSLオプションを選択します。
11. SSLを使用する場合は、「SSL」(LDAPまたはActive Directory用)を選択し、「Connect via SSL」を選択します(デフォルトはポート#636)。
|
|
・ デフォルトではSSLは有効ではなく、セキュアでないデフォルト・ポートは#389です。
・ 非標準のポートを設定するには、「Servers」設定を使用します(LDAPまたはActive Directory用)。
|
12. SSLを使用する場合は、「When SSL Fails」(LDAPまたはActive Directory用)を適切に選択します。
|
|
Novell eDirectoryの場合
Novell eDirectoryおよびその他の環境に関して、重要な注意事項が2つあります。ユーザーのドメイン名の書式が次のとおりであり
cn=%UserName%,ou=people,dc=Oracle,dc=com
次の書式でない場合
namingattribute =%UserName%,ou=people,
dc=Oracle,dc=com
(namingattributeは任意の文字列)、次の処理を実行します。
a. 左側のペインで、適切な拡張を選択してから、「Advanced」を選択します。
b. 「Naming Attribute string」を選択し、値をCNに設定します。
c. 「Alternate User ID location」を選択し、次の例のように、値をuid=%user%,pathに設定します(pathは、オブジェクトへのパスの後半部分です)。
uid=johnd,ou=people,dc=Company,dc=com.
|
エージェントの構成(ファイル・システム同期用)
ここでは、アプリケーション・ログオン、グローバル・エージェント設定およびユーザー資格証明とネットワーク・ファイル共有の同期がとられるようにLogon Manager Agentを初期構成するために必要な設定について説明します。
次に説明する構成設定は、エージェント・ソフトウェアの一般的なデプロイメントの一環として(MSIインストーラ・ファイルを変更して)、またはエージェントのデプロイメント後に(クライアント・ワークステーションのレジストリにマージできるレジストリ・エントリ対応ファイル(.REG)を配信して)、クライアント・ワークステーションに配信できます。
・ Logon Manager Agentロールアウトについては、「デプロイメント・オプション」を参照してください。
・ Logon Managerによるファイル・システム・リソースの使用方法の詳細は、「ファイル・システム同期サポート」を参照してください。
・ 関連するレジストリ・エントリの詳細は、「オーバーライド設定」を参照してください。
1. Logon Manager Agentがサーバーを指すようにします。
2. 次のいずれかを実行します:
・ 設定の保存済セットをインポートします(「Registry」を選択し、「File」メニューから「Import」を選択します)。
または
・ レジストリ設定の新しいセットを作成します(「Insert」メニューで「Global Agent Settings」を選択します)。
または
・ レジストリ・エントリの既存の設定を選択します(「Global Agent Settings」の下の左側のペインで該当するエントリを選択します)。
3. 左側のペインで、レジストリ設定のセットを選択して開き、「Synchronization」を選択して開いて、(必要に応じて)適切な拡張を追加し、適切な拡張を選択して開いた後、「Required」を選択します。
4. 右側のペインで、「Server」を選択した後、サーバー名またはIPアドレスを入力して「OK」をクリックします。
5. エージェントに設定をエクスポートします。
6. グローバル・エージェント設定をクライアント・ワークステーションにはじめて配信する場合の方法を選択します。
7. これらの設定が含まれるように、Logon Manager AgentをインストールするMSIパッケージをカスタマイズします。
8. Oracle Enterprise Single Sign-On Administrative Consoleから、エクスポートする.REGファイルを配信します。ファイル・アイコンをダブルクリックすると、REGファイルをクライアント・ワークステーションのレジストリとローカルでマージできます。
データベース同期: エージェントの構成
次に説明する構成設定は、エージェント・ソフトウェアの一般的なデプロイメントの一環として(MSIインストーラ・ファイルを変更して)、またはエージェントのデプロイメント後に(クライアント・ワークステーションのレジストリにマージするレジストリ・エントリ対応ファイル(.REG)を配信して)、クライアント・ワークステーションに配信できます。
・ Logon Manager Agentロールアウトについては、「デプロイメント・オプション」を参照してください。
・ Logon Managerによるデータベース・サーバー・リソースの使用方法の詳細は、「データベース同期サポート」を参照してください。
・ 関連するレジストリ・エントリの詳細は、「グローバル・エージェント設定」を参照してください。
1. Logon Managerがデータベース・サーバーを指すようにします。
2. 次のいずれかを実行します:
o レジストリ・エントリの既存の設定を選択します(「Global Agent Settings」の下の左側のペインで該当するエントリを選択します)。
o 設定の保存済セットをインポートします(「File」メニューから「Registry」→「Import」を選択します)。
o レジストリ設定の新しいセットを作成します(「Insert」メニューで 「Global Agent Settings」を選択します)。
3. 左側のペインで、レジストリ設定のセットを選択して開き、「Synchronization」を選択して開いて、(必要に応じて)適切な拡張を追加し、適切な拡張を選択して開いた後、「Servers」を選択して開きます。
4. 右側のペインで、「Servers」を選択し、「…」ボタンを選択した後、データベース・サーバー名を入力して「OK」をクリックします。
5. クライアント・ワークステーションにはじめて配信する場合の方法を選択して、設定をエージェントにエクスポートします。
o これらの設定が含まれるように、Logon Manager AgentをインストールするMSIパッケージをカスタマイズします。
o Oracle Enterprise Single Sign-On Administrative Consoleから、エクスポートする.REGファイルを配信します。ファイル・アイコンをダブルクリックすると、REGファイルをクライアント・ワークステーションのレジストリとローカルでマージできます。
ディレクトリ・サーバー同期でのロール/グループのサポートの使用
ディレクトリ・サーバー同期インストールでは、Logon Managerは、アプリケーション・ログオン、パスワード変更ポリシー、グローバル・エージェント設定、パスフレーズ質問セットを含む各構成に対してロール/グループ・アクセス制御をサポートしています。この機能を有効にすると、Windowsセキュリティで使用されているアクセス制御リストと同様に、アクセス制御リストを、それぞれのログオン、ポリシー、設定および質問セットに割り当てることができます。
ロール/グループ・サポート対応の構成は、標準のLogon Manager構成オブジェクト(EntList、FTUlistおよび AdminOverride)と同様に、シンクロナイザ・コンテナ・オブジェクトにエクスポートされます。ロール/グループ・サポートが有効で、アクセス制御されたこれらのオブジェクトがコンテナに存在する場合は、標準オブジェクトが上書きされます。ロール/グループ・サポートを構成するには、次の手順を実行します。
1. 次のグローバル・エージェント設定を構成して、ロール/グループ・セキュリティ・サポートを有効にし、エージェントを更新します。
|
Synchronization
|
Enable role/group security support
|
アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ質問セットに対するロール/グループ・サポートを有効にします。
オプション:
・ Do not use role/group security(デフォルト)
・ Use role group security.
|
|
「Synchronization」→選択されたsync→「Advanced」
|
Configuration Objects Base Locations
(LDAP、Active Directory、AD LDS (ADAM))
|
ロール/グループ対応の構成オブジェクトの検索を開始する場所を指定します。検索は、指定の場所(複数可)から下に向かって(ルートから離れて)行われます。この設定のエントリがない場合、検索はルートから開始されます。
|
2. 各構成にアクセス権を指定します。
構成(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ質問セット)ごとに「Security」タブを使用して、アクセス権を持つ必要があるユーザーおよびグループを指定します。
3. シンクロナイザ・コンテナに構成をエクスポートします。
4. シンクロナイザ・ディレクトリに接続します。
5. 右側のペインで、コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「Publish to Repository」を選択して、このウィンドウを表示します。
6. 「Data Source」として「Administrative Console」を選択します。
7. 選択して、ウィザードの手順を完了し、アクセス制御された個々のオブジェクトとして構成オブジェクトをエクスポートします。
|
|
パフォーマンスとセキュリティを最大にするために、次の操作を実行することをお薦めします。
・ ユーザーの組織でロール/グループ・サポートが必要であることが明白である場合を除いて、「Enable role/group security support」が「Do not use...」に設定されていることを確認します。
・ セキュリティを最大にするには、「Configuration Objects Base Locations」に指定された場所(LDAP、Active Directory、AD LDS (ADAM))にあるディレクトリ・ツリーには、ユーザーが書込み可能な領域がないことを確認します。
・ パフォーマンスを最大にするには、「Configuration Objects Base Locations」に必ず1つ以上の場所を指定します。これにより、サーバー全体が検索されなくなります。
・ 検索の負荷と長さを最小にするには、「Configuration Objects Base Locations」に指定された場所にあるディレクトリ・ツリーには、不要なデータはできるだけ保存しないでください。
|
Citrix環境でのLogon Managerの構成
CitrixサーバーでのLogon Managerのデフォルト・インストール
Logon Managerのデフォルト・インストール・プロセスでは、Logon ManagerがCitrix環境で機能するために必要なコンポーネントが自動的に検出され、インストールされます。このインストール・プロセスによって、そのCitrixサーバーで公開されたすべてのアプリケーションに対するLogon Managerサポートが有効になります。
CitrixサーバーへのLogon Managerのインストール
1. ターミナル・サーバーに管理者としてログオンし、すべてのアプリケーションを閉じます。
2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
3. 「ファイル名を指定して実行」ダイアログ・ウィンドウで、cmdと入力し、[Enter]を押します。
4. コマンド・プロンプト・ウィンドウで、change user/installと入力し、[Enter]を押します。
5. 環境に適したインストール・オプションを選択して、Logon Managerをインストールします。
6. インストールの完了後、コマンド・プロンプトでchange user/executeと入力します。
Citrixでの特定アプリケーション用のLogon Managerの制御
次の項では、Logon Managerのデフォルト・インストールを変更する方法、およびCitrix環境で特定のアプリケーション用にLogon Managerを有効にする方法について説明します。 このプロセスには、2つの手順があります。最初の手順では、グローバルLogon Managerサポートを削除します。 2つ目では、公開アプリケーション構成を使用して、SSO対応にするアプリケーションを指定します。
グローバルLogon Managerサポートの削除
1. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
2. 「ファイル名を指定して実行」ダイアログ・ウィンドウで、Regeditと入力し、[Enter]を押します。
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonに移動します。
4. 右側のペインで文字列値「AppSetup」を右クリックし、「修正」を選択します。
5. SSOLauncherを参照しているこのエントリ内の値データを削除します。(C:\Program Files\Passlogix\v-GO SSO\wts\ssolauncher.exe /nossoshutdown)
6. Windows Authentication v1を使用している場合は、Passlogixレジストリ・ハイブにCheckForParentProcessキーを追加します。 これにより、認証イベントがLogon Managerにハンドオフされます。
HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\AUI\WinAuth\
DWORD:
CheckForParentProcess
Value=0
AppSetupからssolauncher.exeを削除すると、公開アプリケーション構成に指定しないかぎり、このCitrixサーバー上のいずれのアプリケーションでも機能しないようにLogon Managerが構成されます。
公開アプリケーション構成(SSOLauncher)を使用したSSO対応アプリケーションの指定
Logon Managerはグローバルで無効になっているため、公開済のアプリケーション・プロパティにSSOLauncher.exeコマンドを追加することによって、Logon Managerサポートとともに公開するアプリケーションを指定する必要があります。
1. Citrix管理コンソールを開きます。
2. Logon Managerに対して有効にするアプリケーションを公開/検索します。
3. 公開したアプリケーションを右クリックし、プロパティを選択します。
4. 「Application Location」タブで、コマンドラインの前に次の構文を追加します。
C:\Program Files\Passlogix\v-GO SSO\wts\SSOLauncher.exe/application
SSOLauncher.exeのコマンドが、公開済のアプリケーションのコマンドラインに追加されます(置き換えられるわけではありません)。
アプリケーションACTのコマンドライン構文の例を次に示します。
C:\Program Files\Passlogix\v-GO SSO\wts\SSOLauncher.exe” /application C:\Program Files\ACT\act.exe
|
|
この例は、Logon ManagerとACTの両方がCitrixサーバーのC:\ドライブにインストールされていることを前提としています。
|
詳細は、「CitrixサーバーのSSOLauncher」を参照してください。
Citrixサーバーの監視の有効化
Logon Managerにおいて終了するはずのセッションが接続したままにならないように、Logon ManagerをCitrixサーバーで監視できるようにするには、次のレジストリ・ツリーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Citrix\Wfshell\TWI
LogoffCheckSysModulesという名前のエントリが存在する場合は、これに次の項目を追加します。
・ ssosehell.exe
・ ssocredcap64.exe
・ ssocredcap.exe
・ ssobho.exe
・ ssox64ho.exe
・ ssowebho.exe
・ ssomho.exe
・ ssosapho.exe
・ idcontext.exe
たとえば、app1.exe,app2.exeは、app1.exe,app2.exe,ssoshell.exe,ssocredcap64.exeに変更します。
現在のLogoffCheckSysModulesにssomozho.exeが含まれる場合は、この実行可能ファイルを削除します。
エントリが存在しない場合は、LogoffCheckSysModulesを文字列型として作成し、前述の実行可能ファイルを含むように設定します。
「Citrix環境でエージェントをデプロイする場合のベスト・プラクティス」も参照してください。
CitrixサーバーのSSOLauncher
このユーティリティを使用すると、Citrixサーバー環境で公開済のアプリケーションを使用して、Logon Managerの配布を制御できます。
ssolauncherユーティリティを使用するには、次の手順を実行します。
1. WINNT\system32フォルダにssolauncherユーティリティをコピーします。そうしない場合は、ssolauncherが存在するフルパスを含める必要があります。
2. これで、ssolauncherユーティリティを使用してLogon Managerで実行するアプリケーションを管理できます。Citrix公開アプリケーション管理コンソールにアクセスし、アプリケーション定義のコマンドラインを使用してssolauncherコマンドを発行すると、アプリケーションごとにLogon Managerを実行できます。
|
|
ssolauncherコマンドは、コマンドラインの前に適用されます。
|
例
ssolauncher.exe /application "C:Program Files\Internet Explorer\IEXPLORE.EXE"
ssolauncherのコマンドは、次のとおりです。
|
コマンド
|
使用方法
|
|
/application
|
実行するアプリケーションのフルパス。これは必須です。
|
|
/command
|
コマンド・パラメータをアプリケーションに指定する場合に使用します。これはオプションです。
|
|
/directory
|
作業ディレクトリをアプリケーションに指定する場合に使用します。これはオプションです。
|
|
/wait
|
アプリケーションが停止するまで待機する時間(ミリ秒)。これはオプションです。指定しない場合、ssolauncherはアプリケーションが終了するまで永久に待機します。
|
|
/verbose
|
ssolauncherでエラーが発生した場合にエラー・メッセージを示すダイアログ・ボックスを指定します。
|
|
/nossoshutdown
|
アプリケーションが完了したときに、Logon Managerを停止しないようにします。
|
|
/SSOCOMMAND LOGON
|
Logon Managerシステム・トレイ・アイコンにある「Log On Using Logon Manager」トリガーにコマンドを発行する場合に使用します。
|
AIMを起動するコマンドラインの例を次に示します。
ssolauncher.exe /verbose /application "C:\Program Files\AIM95\aim.exe"/
directory "C:\Program Files\AIM95"
|
|
コマンドにバックスラッシュ(\)文字が含まれる場合は、コマンドを引用符で囲む必要があります。
|
グローバル・エージェント設定でのエージェントの構成
この項では、管理者によるエージェントの動作の構成方法を説明します。はじめに、グローバル・エージェント設定を使用する場合と、管理オーバーライドを使用する場合の違い(それぞれの方法のベスト・プラクティスや、様々な機能でどちらが適しているか)について説明します。
ベスト・プラクティスについて説明した後、グローバル・エージェント設定の完全なリスト(すべての設定オプション、レジストリのパス、デフォルト値を含む)を示します。
グローバル・エージェント設定と管理オーバーライド
Logon Manager Agentの動作(ディレクトリとの対話を含む)は、Logon Manager管理者がOracle Enterprise Single Sign-On Administrative Consoleを使用してエンド・ユーザーのマシンに構成およびデプロイした設定によって決定します。設定は、次のいずれかのカテゴリに分類されます。
・ グローバル・エージェント設定は、エージェントのローカル・ポリシーであり、エンド・ユーザー・マシンのWindowsレジストリに格納され、Logon Manager MSIパッケージに含まれて、エージェントにデプロイメント時の初期構成を提供します。グローバル・エージェント設定は、HKEY_LOCAL_MACHINE\Software\Passlogix (32ビット・システム)または
HKEY_LOCAL_MACHINE\Wow6432Node\Software\Passlogix (64ビット・システム)に格納されます。
|
|
HKLMハイブを変更できるユーザーは、そのグローバル・エージェント設定を変更できるため、意図した場所からエージェントの動作を変更することができます。エンド・ユーザーが設定を変更できないようにするには、管理オーバーライドでその設定をデプロイします。
|
・ 管理オーバーライドはWindowsレジストリに格納されているグローバル・エージェント設定よりも優先され、エージェント用のドメイン・ポリシーを構成します。オーバーライドは、同期化の際にエージェントによって中央リポジトリからダウンロードされ、改ざん防止機能が付いた、エージェントの暗号化済ローカル・キャッシュに格納されるため、これによって、エンド・ユーザーによる変更ができないようになります。ロール/グループ・セキュリティが有効な場合、管理オーバーライドはユーザーごと、グループごとに適用することも、エンタープライズ全体に適用することですべてのユーザーの構成の一貫性を保持することもできます。
|
|
管理オーバーライドを計画する際は、慎重に行ってください。オーバーライドが少ないことは、格納および転送するデータが少ないことを意味するため、中央リポジトリとの同期化がより効率的になります。管理オーバーライドは、エンド・ユーザー・マシンでは表示できないため、オーバーライドの数を減らすことでも、不明な事項が取り除かれ、トラブルシューティングが簡単になります。
|
グローバル・エージェント設定と管理オーバーライドを組み合せることで、エージェントの完全な構成ポリシーになります。この項の残りの部分では、推奨される最適な構成について説明します。
通常、Oracle Enterprise Single Sign-On Administrative Consoleは次のように表示されます。
|
|
開発環境またはステージング環境では、Internet Explorerで「発行元証明書の取り消しを確認する」オプションを無効にして、コンソールの起動時、およびマシンがインターネットに接続されていないときの遅延をなくします。(遅延は、Internet Explorerがサーバーの証明書を検索しているとき、および認証局に接続できずにタイムアウトした場合に発生します。)本番マシンではこのオプションを無効にしないでください。
|
デフォルト値に関する注意
このマニュアルおよび他のLogon Managerガイドに記載されていない設定については、ご使用の環境で特に指定されていないかぎり、デフォルト値のままにすることをお薦めします。デフォルト値は、Oracle Enterprise Single Sign-On Administrative Consoleの設定のチェック・ボックスがチェックされていないときはいつでも自動的に有効になります。値は、チェック・ボックスの隣にある対話フィールドに表示されます。
推奨されるグローバル・エージェント設定
この項では、オラクルが推奨する、ベスト・プラクティスとしてのグローバル・エージェント設定を示します。次に示すように設定を構成し、カスタマイズしたLogon Manager MSIパッケージにその設定を含めます。
資格証明共有グループからのログオンの除外を許可
資格証明共有グループでは、アプリケーションのグループで単一の資格証明を共有することが可能であり、資格証明はグループ・レベルで管理され、変更はグループ内のすべてのアプリケーションにすぐに伝播されます。アプリケーションが資格証明共有グループの一部である場合で、ユーザーがそのアプリケーションに対して複数の資格証明セットを持っている場合、共有資格証明を除くすべての資格証明がグループから除外される必要があります。この機能によって、ユーザーは割当て済の資格証明共有グループからのログオンを除外できるようになります。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Password Change」
有効にするには: チェック・ボックスを選択し、ドロップダウン・リストから「Allow」を選択します。
このオプションが有効な場合、ユーザーは次のようにしてログオンを除外できます。
1. 「Logon Manager」ウィンドウで、割当て済グループから除外するログオンを選択します。
2. 「Properties」をクリックします。
3. 表示されたダイアログで、「Exclude from password sharing group」チェック・ボックスを選択します。
4. 「OK」をクリックします。
5. 「Refresh」をクリックして、変更を中央リポジトリと同期化します。
切断操作の制限
ベスト・プラクティスとして、ユーザーが企業ネットワーク上にいない場合もシングル・サインオンを利用できるように、エージェントは中央リポジトリに接続できなくても稼働している必要があります。ユーザーは、オフラインで作業する前に、次のことを完了しておく必要があります。
・ リポジトリに接続している状態で初回使用ウィザードを完了し、ユーザーの資格証明を保護する暗号化鍵を生成しておきます。鍵は、リポジトリとエージェントのローカル・キャッシュに格納されます。
・ テンプレート、ポリシーおよび事前にプロビジョニングされた資格証明を取得するために、少なくとも1回リポジトリと同期化しておきます。これらのアイテムは、オフラインで使用するためにエージェントのローカル・キャッシュに格納されます。
あるマシンでユーザーが正常に同期化されていて、Logon Managerでは使用されたことがなく、リポジトリに接続されていない2つ目のマシン(ラップトップなど)でFTUを完了すると、2つ目のマシンで生成された鍵は、すでにリポジトリに格納されている鍵とは一致しなくなります。この不一致によって、2つ目のマシンではリポジトリとの同期がとれなくなります。
この問題を回避し、ユーザーが引き続きオフラインで作業できるようにするには、次のようにします。
1. 次のようにして、カスタムMSIパッケージで、リポジトリに接続されていないときはエージェントが実行されないように構成します。
場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「No」を選択します。
2. デプロイメント後、「ディレクトリに接続されていない場合のエージェントの実行を許可」に示すとおり、この制限を排除する管理オーバーライドをプッシュします。(オーバーライドは、最初に同期化に成功した後有効になります。)
エンド・ユーザーのプライマリ・オーセンティケータの選択
次の場合に、プライマリ・オーセンティケータを選択して構成することをお薦めします。
・ 初回使用(FTU)ウィザードを無効にする場合(次の項を参照)。
・ 選択したプライマリ・オーセンティケータを介してのみユーザーを認証する場合。
特定のオーセンティケータの構成については、グローバル・エージェント設定の「認証」の項を参照してください。
|
|
この設定が空白のままで、FTUウィザードが無効な場合、最初にインストールされたログオン方法(アルファベットの降順)がデフォルトで自動的に選択されます。インストールされているオーセンティケータのリストを表示するには、設定を一時的に有効にして、そのドロップダウン・リストを確認します。
|
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Setup Wizard」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望のログオン方法を選択します。
初回使用ウィザードの非表示
Logon Managerを初めて起動すると、FTUウィザードが表示され、ユーザーに次のことが求められます。
・ バックアップから資格証明と設定をリストアする(バックアップが存在する場合)
・ プライマリ・ログオン方法を選択する
・ 選択したプライマリ・ログオン方法を使用してLogon Managerに対する認証を行う
・ デフォルトのアプリケーションの資格証明を提供する
ベスト・プラクティスとしては、Logon Managerの設定をエンド・ユーザーが手動で行わなくて済むようにします。かわりに、FTUウィザードを無効にし、前の項に示したとおりプライマリ・オーセンティケータを選択して、必要なアプリケーションを事前にプロビジョニングします。そのとき、Logon Managerの初回起動時にユーザーが指定する必要があるのは、Windowsのパスワードのみです。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Setup Wizard」
無効にするには: チェック・ボックスを選択し、ドロップダウン・リストから「No」を選択します。
再認証タイマーの無効化
予期しない再認証プロンプトでユーザーの操作が中断されないように、再認証タイマーを無効にします。(タイマーが期限切れになった後発生する次のセキュアな操作でプロンプトが表示されます。)
|
|
これは非アクティブ・タイマーではなく、この機能は、オペレーティング・システムに含まれるセキュアなスクリーンセーバーで最も効果を発揮します。
|
場所: 「Global Agent Settings」 > 「Live」 > 「Security」
無効にするには: チェック・ボックスを選択し、フィールドに4,294,967,295を入力します(この値によって、タイマーが無効になります)。
デフォルトの暗号化アルゴリズムの使用
Logon Managerが、サポートされているすべてのオペレーティング・システムとの互換性を維持するためにアプリケーションの資格証明の暗号化に使用するデフォルトの暗号化アルゴリズム(AES MS CAPI)は変更しないでください。Logon Managerによってサポートされているすべてのアルゴリズムが、すべてのオペレーティング・システムで機能するわけではありません。(特定のアルゴリズムによってサポートされるオペレーティング・システムは、ドロップダウン・リストのアルゴリズム名の隣に表示されます。)
|
|
エンタープライズ全体でFIPSコンプライアンスを保持するためにMS CAPIアルゴリズムを使用することをお薦めします。
|
場所: 「Global Agent Settings」 > 「Live」 > 「Security」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望の暗号化方法を選択します。
この設定は、前述のとおりデフォルト値のままにすることをお薦めします。
推奨される管理オーバーライド
この項では、ベスト・プラクティスとして推奨される管理オーバーライドを示します。次に示すようにオーバーライドを構成し、中央リポジトリにプッシュします。オーバーライドは、次に同期化を行うときにエンド・ユーザーのマシンに適用されます。
資格証明のサイレント取得の構成
Logon Managerでは、サポートされているアプリケーションにユーザーが初めてログインしたときに、対話形式のウィザードを表示するのではなく、自動的に(サイレントに)資格証明を取得する機能が提供されます。ユーザー・エクスペリエンスを簡単にするために、この機能の利用をお薦めしますが、Logon Managerがユーザーの資格証明を取得していることがユーザーにわかるように構成します。完全にサイレントな取得(ユーザーには通知されない)では、信頼性の問題になる可能性があり(ほとんどのユーザーは、自分の資格証明が取得されるかどうかを選択することを希望します)、その結果、ヘルプデスクへの問合せが増加する可能性があります。
・ ほとんどのアプリケーションでは、資格証明の取得モード・オプションを「Capture and inform the user with balloon tip」に設定します。
・ 資格証明のサイレント取得をサポートしていないアプリケーション(Logon ManagerでSendKeysレスポンス・メソッドを使用する必要があるアプリケーションなど)では、資格証明の取得モード・オプションを「Do not capture silently」に設定します。
場所: 「Global Agent Settings」 > 「Live」 > 「Use Experience」 > 「Application Response」 > 「Initial Credential Capture」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望の値を選択します。
起動時のLogon Manager Agentでの同期化の待機
ユーザーの資格証明、アプリケーション・テンプレート、パスワード・ポリシーおよび管理オーバーライドが常に最新になるように、起動時に同期化を待機するようにエージェントを構成します。このオプションが有効な場合、初期化の際にエージェントはディレクトリがオンラインかどうかを確認し、次のいずれかを実行します。
・ ディレクトリがオンラインの場合は、ディレクトリと正常に同期するまで、エージェントはアプリケーションのログオン・リクエストに応答しません。
・ ディレクトリがオフラインの場合は、エージェントは同期を試行せずにすぐに起動します。
場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」
ご使用の環境で他の要件がないかぎり、前述のデフォルト値を使用します。
最適化された同期の使用
最適化された同期化では、最後に行われた同期化の後で変更された資格証明のみが同期化されるようにLogon Manager Agentに指示が出されます。ご使用の環境に応じて、次のいずれかを実行します。
・ このオプションを有効にすると、1ユーザーに6つ以上の資格証明があるデプロイメントで同期化のパフォーマンスが改善されます。
・ このオプションを無効にすると、1ユーザーの資格証明が5つ未満で、1ユーザー当たりのダウンロードしたテンプレートが多数のデプロイメントで同期化のパフォーマンスが改善されます。
場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」
ご使用の環境で他の要件がないかぎり、前述のデフォルト値を使用します。
リポジトリに接続されていないときのエージェント実行の許可
このオーバーライドは、「切断操作の制限」で説明したとおり、初期構成でのエージェントにおける制限事項を排除するために必要です。このオーバーライドが適用されると、ユーザーは企業ネットワーク上にいなくてもシングル・サインオン機能を利用できるようになります。
|
|
このオーバーライドは、「切断操作の制限」に示した制限事項とあわせて適用する必要があります。
|
場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」
許可するには: チェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。
Webアプリケーションに最適なURL一致精度の設定
URL一致精度によって、アプリケーションのURLをテンプレートで定義されたURLと照合するときに、URLのどのレベルまでが考慮されるかを決定します。URL一致精度の設定が低すぎると、Logon Managerは、あるイントラネット・アプリケーションを別のものと間違えて、間違った資格証明で応答する可能性があります。URL一致精度の設定が高すぎると、一意のホスト名を持つ配布済インフラストラクチャを介して提供された1つのアプリケーションが、可変ホスト名が原因で別々のアプリケーションとして誤って認識される可能性があります。
ご使用の環境に最適なURL一致精度判断する場合は、次のガイドラインに従ってください。
・ 通常は、URL一致精度を5(最大値)に設定します。これによって、ログオンをリクエストしているアプリケーションのURLがテンプレートに格納されたURLと厳密に一致する場合のみLogon Managerが応答することが保証されます。自動認識機能には、限定された機能が搭載される予定です。
・ Logon ManagerのWebアプリケーション用自動認識機能のメリットを最大限に利用するには、URL一致精度をデフォルト値の2のままにします。ただし、イントラネット・アプリケーションへのレスポンスは低下する可能性があります。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Response」 > 「Web Applications」
設定するには: チェック・ボックスを選択し、フィールドに希望の値を入力します。
事前定義済アプリケーションへのユーザーの制限
Logon Managerでは、テンプレートがリポジトリに存在しないアプリケーションの資格証明をユーザーが格納しないようにできます。柔軟性を保持したままユーザー・エクスペリエンスを簡単にするには、アプリケーションのタイプに応じて、次のことを実行します。
・ Windowsアプリケーション。 ユーザーがLogon Managerを使用し始める前に、必要なアプリケーションを判断してプロビジョニングします。テンプレートがすでにリポジトリに存在するアプリケーションの資格証明のみ格納するようにLogon Managerに指示します。ユーザーには、プロビジョニングされていないWindowsアプリケーションの資格証明を格納することを求めるプロンプトは表示されないため、エンタープライズ・アプリケーションのシングル・サインオン・プロセスを完全に制御し続けます。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Application Response」 > 「Initial Credential Capture」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「Predefined applications only」を選択します。
・ Webアプリケーション。 シングル・サインオンの最大値を指定するには、ユーザーがWebアプリケーション用に任意の資格証明を格納することを許可する必要があります(このオプションのデフォルト値「Unlimited」を使用)。ただし、資格証明が正常に格納されるまで、ユーザーには、プロビジョニング解除されたWebアプリケーションにアクセスするたびにその資格証明を格納するように求めるプロンプトが表示されます。そのため、このオプションは、「Unlimited」ではなく「Predefined applications only」に設定することをお薦めします。つまり、決定事項は、組織のニーズによって異なります。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Application Response」 > 「Initial Credential Capture」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「Unlimite」を選択します。
|
|
前述の個々のオプションは、「All applications」オプションより優先されます。
|
会社のパスワード変更ポリシーの作成および設定
デフォルトでのLogon Managerは、組織のセキュリティ要件を満たす新しいポリシーと置き換える必要のある、不十分なパスワード変更ポリシーが付属しています。組込みポリシーでないことを示すために、ポリシー名には組織の名前を含めます。このポリシーは、このオプションを設定する前に作成する必要があります(パスワード変更ポリシーの作成手順については、「パスワード・ポリシーの追加」を参照してください)。
場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Password Change」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望のポリシーを選択します。
|
|
デフォルトのパスワード変更ポリシーとして設定されたポリシーは、エンタープライズ全体で有効です。
|
マスクされたフィールドの表示時の強制再認証
格納済のアプリケーション・パスワードへの不正アクセスを防止するには、エージェント内でマスクされたフィールドの表示機能が呼び出されたときに認証を行うことをユーザーに求めるようにLogon Managerを構成します。このポリシーを管理オーバーライドとして構成することで、不正な管理者がローカル・マシンのレジストリに手動で設定を追加したり、初期デプロイメント時に設定が未構成のままになっている場合にローカル・ユーザーのパスワードに不正アクセスすることも防止できます。
場所: 「Global Agent Settings」 > 「Security」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。
監査ロギング方法の選択
インストールのトラブルシューティングを効率的に行うために、監査ロギングを構成して使用します。選択する監査メソッドは組織のニーズによって異なります(使用可能な方法は次のとおりです)。
・ ほとんどの組織では、SyslogおよびWindows Event Logging Serverを選択します。
・ データベースもサポートされています(データベースへの有効なODBC接続文字列が必要です)。
・ カスタム・イベント・ロギング・システムを実装する場合、Logon Managerでは外部アプリケーションで直接解析できるRAWログ・データを公開するXMLファイル・オプションが提供されます。(RAWログ・データがセルフクリーニングされることはなく、外部的にクリーン・アップしないかぎり、無制限に大きくなることに注意してください。)
使用可能な監査方法の詳細は、グローバル・エージェント設定の「監査ロギング」の項を参照してください。
記録するイベント・タイプの選択
Reporting Server以外の監査ロギング方法を使用する場合は、記録するイベントのタイプを選択する必要があります。トラブルシューティング時に最大の効果を発揮するように、すべてのイベント・タイプを記録することをお薦めします。
|
|
希望のイベント・タイプに加えて、「Event Types: Info」という項目を選択する必要があります。この項目はすべてのイベント・タイプの親であり、データ取得に必要となります。
|
場所: 「Global Agent Settings」 > 「Audit Logging」 > <選択した監査ロギング方法>
設定するには: チェック・ボックスを選択し、表示されたダイアログで希望のイベント・タイプを選択します。終了したら、「OK」をクリックしてダイアログを終了します。
一連のグローバル・エージェント設定の使用
グローバル・エージェント設定には、デフォルト値、スイッチの他、デスクトップでのLogon Managerの動作を変更するその他の構成情報が含まれます。右側のペインのリストの項目をダブルクリックして個々の設定を表示または変更します。「Add Notes」をクリックして、設定セットに関するメモを入力します。
グローバル・エージェント設定セットの表示
1. 次のいずれかを実行します:
・ 左側のペインの「Global Agent Settings」をクリックした後、右側のペインで設定セットをダブルクリックします。
または
・ 左側のペインで、「Global Agent Settings」アイコンの横のプラス記号(+)をクリックして(または「Global Agent Settings」をダブルクリックして)、設定セットを表示します。
2. 次のいずれかを実行します:
・ 「Global Agent Settings」アイコンを選択します。右側のペインに、個々の設定のリストが表示されます。
または
・ 「Global Agent Settings」アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。
|
Export
|
選択した設定セットをレジストリ・ファイルまたは管理オーバーライド・オブジェクトに保存します。
|
|
Write to Live HKLM
|
ローカル・マシン・レジストリ(HKLM)に現在のエージェント構成をエクスポートします。
|
|
Test
|
Logon Managerの構成テスト・マネージャを起動します(これによって接続のテストと、必要に応じて設定の調整が行われます)。
|
|
Manage Synchronizers
|
シンクロナイザを追加、削除および再優先順位付けします。
|
|
Delete
|
選択した設定セットを削除します。
|
|
Make copy
|
選択した設定セットを複製します。
|
|
Rename
|
選択した設定セットの名前を変更します。
|
|
Publish
|
「Publish to Repository」ダイアログ・ボックスを開きます(グローバル・エージェント設定と公開するその他のオブジェクト選択できます)。
|
|
Publish To
|
選択したグローバル・エージェント設定セットの公開先を選択できます。
|
グローバル・エージェント設定の作成およびインポート
「Global Agent Settings」には、エージェント構成情報が含まれており、保存済のグローバル・エージェント設定セットへのアクセスが提供されます。
1. 左側のペインの「Global Agent Settings」をクリックし、右側のペインにグローバル・エージェント設定セットのリストを表示します。
2. 左側のペインの「Global Agent Settings」を右クリックし、次のオプションが含まれるショートカット・メニューを表示します。
|
New Settings
|
新しいグローバル・エージェント設定セットを作成します。「Add Set of Settings」ダイアログ・ボックスを表示します。
|
|
Import
|
外部ソースからグローバル・エージェント設定セットをインポートします。
|
|
From File
|
管理オーバーライド・オブジェクト(INI)ファイルまたは登録エントリ(REG)ファイルから設定セットをインポートします。ファイルにナビゲートし、「Open」をクリックします。
|
|
From Live HKLM
|
ローカル・マシン・レジストリ(HKLM)から現在のエージェント構成をLiveという名前の設定セットとしてインポートします。
|
|
Publish
|
「Publish to Repository」ダイアログ・ボックスを開きます(グローバル・エージェント設定と公開するその他のオブジェクト選択できます)。
|
|
|
インポートした設定が現在の構成の既存セットと同じ名前である場合は、インポートしたセットに「既存の設定のコピー」という名前が付与されます。
このバージョンのOracle Enterprise Single Sign-On Administrative Consoleを英語以外のOSにインストールした場合は、「New Settings」オプションを使用しないでください。かわりに、「Import」オプションを使用してください。「New Settings」オプションを使用すると、同期拡張のパスが無効なパスを指し、同期が失敗します。
|
グローバル・エージェント設定セットの追加
このダイアログ・ボックスは、新しいグローバル・エージェント設定セットを追加して名前を付ける場合に使用します。
・ 「Set of Settings Name」に値を入力し、「OK」をクリックします。
このダイアログ・ボックスを表示するには、次の手順を実行します。
・ 「Global Agent Settings」を右クリックし、ショートカット・メニューから「New Settings」を選択します。
または
・ 「Insert」メニューから「Global Agent Settings」を選択します。
Export Format
このダイアログ・ボックスは、選択した設定セットの出力形式を選択する場合に使用します。
オプション
|
Administrative Override Object
|
設定を、管理オーバーライド・オブジェクト(INI)ファイルとしてエクスポートします。
|
|
HKLM Registry
|
設定を、レジストリ・エントリ(REG)ファイルとしてエクスポートします。
|
|
Both
|
両方のファイル・タイプをエクスポートします。
|
|
Unicode encoding (.REG format only)
|
.REGファイルをUnicode形式でエクスポートします。
|
グローバル・エージェント設定セットのエクスポート
1. (オプション)必要に応じて、.REGファイルに対して「Unicode format」を選択します。
2. オプションをクリックします。
3. 「File Save」ダイアログ・ボックスで、各ファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 左側のペインの「Global Agent Settings」アイコンを右クリックし、ショートカット・メニューから「Export」を選択します。
ユーザー・エクスペリエンス
「User Experience」設定では、エージェントとエンド・ユーザーおよび他のプログラムとの対話など、エージェントをWindowsアプリケーションとして制御します。
デフォルト値(該当する場合)は、太字で示されます。
システム・トレイ・アイコン
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Display icon in system tray
Shell:ShowTrayIcon
|
「Logon Manager」アイコンをシステム・トレイに表示するかどうかを指定します。
|
0-No
1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Use server icon
Shell:TrayIconUseRemote
|
標準にシステム・トレイ・アイコンではなく、別のサーバー・アイコンを使用するかどうかを指定します。
|
0-No (デフォルト)
1-Yes
|
Yes
|
dword/O
|
|
Tooltip text
Shell:TrayIconName
|
システム・トレイ・アイコンにマウスを置いたときに表示されるテキストを指定します。(推奨される用途: 各Citrix Server/Terminal Services/リモート・サーバーへのラベル付け)
|
最大63文字
(デフォルト-Logon Manager)
|
Yes
|
string/O
|
|
Show system name
Shell:TrayIconDisplaySysName
|
ツールチップ・テキストに、空白+ハイフン+空白で区切ってコンピュータ名を付加するかどうかを指定します。
|
0-No (デフォルト)
1-Yes
|
Yes
|
dword/O
|
|
Allow shutdown
Shell:AllowShutdown
|
エンド・ユーザーのシステム・トレイ・アイコン・メニューで「Shut Down」オプションが有効かどうかを指定します。
|
0-No
1-Yes (デフォルト)
|
Yes
|
dword/O
|
タイトル・バー・ボタン
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Show title bar button
Shell:ShowAccessBtn
|
すべてのウィンドウ・タイトル・バーに「Logon Manager」ボタンを表示するかどうかを指定します。このボタンは、シングルクリックでアプリケーションを認識して応答するように構成したり、「Provide Dropdown Menu」設定を変更することによって、システム・トレイ・メニューに類似したメニューを提供できます。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Always show for
Shell:ShowTitleIconAlways
ForModuleN
|
タイトル・バー・ボタンが常に表示されるアプリケーションのリストを(notepad.exeなど、実行可能ファイル名で)識別します。この設定は「Show title bar button」設定をオーバーライドします。
省略記号(…)ボタンをクリックして、アプリケーション名を入力します。アプリケーション名は改行で区切ります。
|
|
Yes
|
string/O
|
|
Provide dropdown menu
Shell:ShowAccessBtnMenu
|
タイトル・バー・ボタンからメニューを表示するかどうかを指定します。オフにすると、タイトル・バー・ボタンはシングルクリック・ボタンとして動作し、アプリケーションを認識し応答します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Tooltip text
Shell:TitleIconName
|
タイトル・バー・ボタン上にマウスを置くと表示されるテキストを指定します。
|
デフォルト-Oracle Enterprise Single Sign-On Logon Manager-
|
Yes
|
string/O
|
アプリケーションのレスポンス
このタブでの設定によって、エージェントがログオン・シナリオを検出したときの動作が制御されます。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Log on to waiting applications upon Agent startup
Shell:LogonOnStartup
|
エージェントの起動時に、エージェントが初期化されて使用可能な状態になる前に、すでにログオン・フォームが存在するWindowsアプリケーションまたはJavaアプリケーションに資格証明を送信できます。
|
|
Webおよびホスト/メインフレーム・アプリケーションのログオンは、この設定の影響を受けません。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
SendKeys event interval
Extensions\AccessManager:
SendkeysEventInterval
|
SendKeysキー・イベント間で許可する最小時間を指定します。キーストロークが失われることがある東部言語でこれは特に役立ちます。
|
|
Logon Managerは、ジャーナル・フックSendKeysを使用した資格証明の送信をサポートしていません。
|
|
・ 0-最適な速度(デフォルト)
・ 60-東部言語での標準
・ 80-低速システムに使用
・ 120-超低速システムに使用
|
Yes
|
dword/O
|
|
Respond to hidden and minimized windows
Shell:StrictWindowDetect
|
エージェントが非表示ウィンドウおよび最小化ウィンドウに応答するかどうかを指定します。
|
|
この設定は、Kiosk Managerの使用時は無効にする必要があります。
|
|
・ 0-Yes (デフォルト)
・ 1-No
|
Yes
|
dword/O
|
|
Applications that hooks should ignore
Shell:HookIgnorePathsContain
|
フックと互換性がないために、Logon Managerが無視するアプリケーションを指定します。省略記号(…)ボタンをクリックして、実行するパスのリストを項目をセミコロンで区切って入力します。このリストには、フルパスを指定することも、パスの一部を指定することもできます。
例:
パスにC:\Program Files\Javaが含まれるすべてのフォルダ、およびパスにOracle Enterprise Single Sign-On Administrative Consoleが含まれるすべてのフォルダからすべてのアプリケーションを除外するには、次のように入力します。
C:\Program Files\Java;Oracle Enterprise Single Sign-On Administrative Console
|
|
この設定は、互換性が原因で機能が失われる可能性のあるアプリケーションに固有です。このようなアプリケーションが検出されるのは本番環境のみです。
Logon Manager機能と互換性のあるアプリケーションではこの設定を使用しないでください。そのようなアプリケーションでは、該当するアプリケーション・タイプの設定ページで除外/無視する設定を使用してください。
この設定は、管理オーバーライドとしては使用できません。
|
|
|
Yes
|
文字列/文字列
|
ウィンドウのクラス
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Supported Window Classes for Applications
Extensions\AccessManager:
AppClasses
|
エージェントがアプリケーションとして認識するウィンドウ・クラス名のリストを指定します。この設定では、エージェントをこのリストに制限することでパフォーマンスを向上できます。動的ウィンドウ・クラスのサポートを有効化するには、デフォルト設定を削除し、この値をNULLに設定します。
|
・ #32770;Dialog;ThunderRT5 FormDC;
ThunderRT6FormDC
(デフォルト)
|
Yes
|
文字列/文字列
|
|
Ignored Window Classes for Applications
Extensions\AccessManager:
AppIgnoreClasses
|
エージェントがアプリケーションとして認識しないウィンドウ・クラス名のリストを指定します。この設定により、Logon Managerに特定のウィンドウ・クラスをグローバルに無視させることができます。
|
・ デフォルトなし
|
Yes
|
文字列/文字列
|
初期資格証明の取得
「Initial Credential Capture」設定は、エージェントで最初にアプリケーションを検出したときの動作を制御します。デフォルト値(該当する場合)は、太字で示されます。
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Credential capture mode
Shell:CaptureType
|
資格証明が必要な新規アプリケーションを検出したときにエージェントがどのように応答するかと、ユーザーの操作レベルを指定します。
資格証明のサイレント取得モードは、SendKeysを必要とするアプリケーションとは互換性がありません。このため、ホスト/メインフレーム・アプリケーションに対しても、SendKeysを使用するWebまたはWindowsアプリケーションに対してもこのモードを使用することはできません。
ユーザー名とパスワードが不明瞭化されるアプリケーションに対しては、資格証明のサイレント取得を使用しないでください。
オンザフライのWebアプリケーションにおける資格証明のサイレント取得では、次のいずれかのタグで「Submit」要素が必要です。
・ <input type=submit>
・ <button type=submit>
・ <input type=image>
「Submit」要素に基礎となるタグの<img>または<a>がある場合は、Webアプリケーションのテンプレートを作成する必要があります。
|
・ 0-サイレント取得を行わない
ユーザーが資格証明を手動で入力する「New Logon」ダイアログ・ボックスを表示します。
・ 1-取得はするが、ユーザーに通知しない
ユーザーが入力した資格証明をエージェントが取得しますが、その処理をユーザーに通知することはありません。
・ 2-取得を行い、ユーザーにバルーン・ヒントで通知する(デフォルト)
ユーザーが入力した資格証明をエージェントが取得し、処理中にシステム・トレイの近くにバルーン・ヒントを表示して、ユーザーに通知します。
・ 3-取得を行い、「New Logon」ダイアログ・ボックスを表示する
ユーザーが入力した資格証明をエージェントが取得し、処理中にシステム・トレイの近くにバルーン・ヒントを表示して、ユーザーに通知します。資格証明の取得後に、エージェントはユーザーの入力があらかじめ設定された状態の「New Logon」ダイアログ・ボックスを表示します。ユーザーは受入れ、変更、取消、無効化のいずれかを実行できます。
|
Yes
|
dword/O
|
|
Enable Auto-Prompt
Shell:UseAutoSense
|
新しいアプリケーションが検出された場合に、ログオンを追加することをユーザーに自動的に求めるかどうかを指定します。
|
0-No
1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Enable Auto-Enter
Extensions\AccessManager:
LogonAfterConfig
|
アプリケーションの構成後に、そのアプリケーションにログオンするかどうかを指定します(その資格証明を追加します)。
|
|
エンド・ユーザーは、Logon Managerの「Response」タブで選択を解除することによって、この設定を変更できます。
|
|
0-No
1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Enable Auto-Recognize
Shell:UseActiveLogin
|
アプリケーションに対する資格証明を自動的に提供するかどうかを指定します。
|
|
アプリケーションの構成固有の設定がグローバル設定をオーバーライドします。
|
|
0-No
1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Allow creating multiple accounts during credential capture
Extensions\AccessManager:
ShowAddAdditionalLogon
|
ユーザーが「New Logon」ダイアログ・ボックスに資格証明の別のセットを追加可能になるチェック・ボックスを、有効にするかどうかを指定します。
|
0-No (デフォルト)
1-Yes
|
Yes
|
dword/O
|
|
Prohibit canceling the addition of new accounts
Extensions\AccessManager:
EnableCancelButton
|
資格証明の入力を遅延するために「Cancel」ボタンをクリックする、または「New Logon」ダイアログ・ボックスを閉じるという選択肢をユーザーに与えるかどうかを指定します。これにより、現在のアプリケーションに対するアクセスが許可され、次回の適切なインスタンスで資格証明を入力するようにユーザーは再度要求されます。
|
0-Yes
1-No (デフォルト)
|
Yes
|
dword/O
|
|
Prohibit disabling the addition of new accounts
Extensions\AccessManager\
EnableNeverButton
|
「New Logon」ダイアログ・ボックスで「Disable」ボタンが使用可能かどうかを指定します。ユーザーはアプリケーションの資格証明の追加を永久に拒否できます。
|
|
アプリケーションを無効にすると、そのアプリケーションはエージェント設定の「Exclusions」リストに追加されます。
|
|
0-Yes
1-No (デフォルト)
|
Yes
|
dword/O
|
|
Prohibit excluding accounts from credential sharing groups
Extensions\AccessManager:
DisableAllowExcludePWSG
|
「New Logon」ダイアログ・ボックスで、資格証明共有グループからアカウントを実行できるようにするチェック・ボックスを無効にするかどうかを指定します。このチェック・ボックスは、「Account Properties」ダイアログ・ボックスで使用可能になります。
|
0-No (デフォルト)
1-Yes
|
Yes
|
dword/O
|
事前定義済アプリケーションへのレスポンスの制限
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
All application types
Extensions\AccessManager:
AllowUnknown
|
次のオプションを設定します。
・ エージェントがアプリケーションに自動応答するかどうか
・ 管理者が事前定義していないアプリケーションにユーザーがログオンを作成できるかどうか
「Predefined applications only」設定によって、両方のオプションが禁止されます。「Unlimited」設定によって、両方のオプションが許可されます。
|
0-Predefined applications only
1-Unlimited(デフォルト)
|
Yes
|
dword/O
|
|
Windows applications
Extensions\AccessManager:
AllowUnknownApp
|
管理者によって事前定義されていないWindowsアプリケーション用の資格証明をユーザーが追加できるかどうかを指定します。
|
0-Predefined applications only
1-Unlimited(デフォルト)
|
Yes
|
dword/O
|
|
Web applications
Extensions\AccessManager:
AllowUnknownWeb
|
次のオプションを設定します。
・ エージェントがWebアプリケーションに自動的に応答するかどうか
・ 管理者が事前定義していないアプリケーションにユーザーがログオンを作成できるかどうか
「Predefined applications only」設定によって、両方のオプションが禁止されます。「Unlimited」設定によって、両方のオプションが許可されます。「Manually add undefined」設定によって最初のオプションは禁止され、2つ目のオプションは許可されます。
|
0-Predefined applications only
1-Unlimited(デフォルト)
2-Manually add undefined<
|
Yes
|
dword/O
|
|
Allowed Web pages
Extensions\AccessManager\
BHOAllowedWebPages:
WebPageN
|
この設定を使用して、エージェントが許可するWebページをリストします。省略記号(…)ボタンをクリックして許可されているWebページを追加し、URLと一致する正規表現を入力します。(この設定にデフォルトはありません。)
|
|
この設定は、「Predefined applications only」に「All application types」または「Web applications」を選択した場合にのみ使用します。
|
|
|
Yes
|
string/O
|
Webアプリケーションのレスポンス
「Web Applications Response」設定では、Webアプリケーションと連携する場合のエージェントの動作を制御します。
一部のWebアプリケーションには、起動するたびに変わる項目が含まれるため、動的なWebページの再スキャン、変更の検出および適切な応答を行うために、Webテンプレートを構成できます。
デフォルト値(該当する場合)は、太字で示されます。
資格証明フィールドの指定
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Show border
Extensions\AccessManager\
BHO:ShowBorder
|
ログオン時にWebフォームの資格証明フィールドの周囲にハイライトした枠線を表示するかどうかを指定します。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Border appearance
Extensions\AccessManager\
BHO:FeedbackColor
|
検出されたWebページ・フィールドをハイライト表示するための枠線のデフォルトの色/サイズ/形式。
詳細は、「枠線の値」を参照してください。
|
デフォルト-red 6px solid
|
Yes
|
文字列/文字列
|
動作
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
URL matching precision
Extensions\AccessManager:
DNLevelsToMatch
|
アプリケーションの検出およびレスポンスに使用されるURLのホスト部分のレベル数。
たとえば、URL http://mail.company.co.ukの場合:
・ 2=*.co.ukに一致
・ 3=*.company.co.ukに一致
・ 4=*.mail.company.co.ukに一致
|
|
2未満の値は2として扱われます。
|
|
・ 最小値-2 (デフォルト)
・ 最大値-5
|
Yes
|
dword/整数
|
|
Scroll into view
Extensions\AccessManager\
BHO:ScrollIntoView
|
ログオン・フィールドを表示するためのブラウザ・ウィンドウのスクロールを有効または無効にします。
ユーザーがWebアプリケーションへの資格証明をまだ格納していない場合、この設定によってスクロールは無効になります。すでに存在するアカウントの資格証明をログオン・フィールドに取り込む場合に、エージェントは常にスクロールします。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
「Activate tab」
Extensions\AccessManager\
BHO:ActivateTab
|
ログオン・フィールドを識別するタブのアクティブ化を有効または無効にします。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Respond to IE modal dialogs
Extensions\AccessManager\
BHO:RespondToIEModalDialogs
|
モーダル・ダイアログまたはHTMLアプリケーションとして表示されるWebページへのエージェントのレスポンスを有効にします。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
レスポンス制御
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Applications to ignore
Extensions\AccessManager:
BHOIgnoredApps
|
ログオンの検索時にBrowser Helper Object (BHO)がアタッチされないアプリケーションのカンマ区切りリスト(パスや拡張子なし)を入力します。BHOによって特定のアプリケーションとの競合が発生する場合に使用します。
例: ws_ftp, customapp1
|
|
Yes
|
string/O
|
|
Web pages to ignore
Extensions\AccessManager\
BHOIgnoredWebPages:
WebPageN
|
この設定は、エージェントが無視するWebページをリストする場合に使用します。BHOによって特定のWebアプリケーションまたはWebサイトとの競合が発生する場合に使用します。省略記号(…)ボタンをクリックして、無視するURLに一致する正規表現を(1行に1つずつ)入力します。
例:
・ .*http://login\.company\.com/.*
・ .*http://.*\.company\.com/.*
|
|
Yes
|
string/O
|
|
Allowed dynamic Web pages
Extensions\AccessManager\
BHOAllowedDynamicWebPages:
DynamicWebPageN
|
この設定は、エージェントによって許可される動的(DHTML) Webページをリストする場合に使用します。デフォルトでは、動的ページの初回表示の後にそのページに対して行われた変更はBHOでは検出されません。
省略記号(…)ボタンをクリックして、URLに一致する正規表現を入力します。
例:
・ .*http://logon\.company\.com/.*
・ .*http://.*\.company\.com/.*
|
|
Yes
|
string/O
|
Windowsアプリケーションのレスポンス
「Windows Applications Response」設定では、Windowsアプリケーションと連携する場合のエージェントの動作を制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Allow fallback from control IDs to SendKeys
Extensions\AccessManager:
AllowSendKeysFallback
|
コントロールIDを使用した資格証明の直接取込みが失敗した場合にSendKeysへのフォールバックを許可します。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
Javaアプリケーションのレスポンス
「Java Applications Response」設定では、Javaアプリケーションと連携する場合のエージェントの動作を制御します。
デフォルト値(該当する場合)は、太字で示されます。
除外
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Excluded Java versions
Extensions\AccessManager\
JHO:JhoExcludeJavaVersionN
|
正規表現としてリストされている、除外するJavaのバージョンを指定します。1行に1つの表現を入力します。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
No
|
string/O
|
|
Excluded Java vendors
Extensions\AccessManager\
JHO:JhoExcludeJavaVendorN
|
正規表現としてリストされている、除外するJavaのベンダーを指定します。1行に1つの表現を入力します。
この設定は、Logon Managerバージョン11.1.1.5.0から含まれています。
|
|
No
|
string/O
|
レスポンスの遅延
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Time allowed for Java applets to load
Extensions\AccessManager:
MaxAppletLoadTime
|
Javaアプレットがブラウザに完全にロードされるまでエージェントが待機する最大時間(秒)を指定します。
|
(デフォルト-6)
|
Yes
|
dword/整数
|
|
Delay after Java runtime startup
Extensions\AccessManager:
JHOAttachDelay
|
Javaの起動時にウィンドウ・イベントをリスニングするまでJHOが待機する時間(ミリ秒)を指定します。遅延を追加すると、Javaの実行時の初期化で発生する時間の競合を解決できます。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Delay between retries
Extensions\AccessManager:
JhoRetryTimeout
|
フォーム・コントロールへの資格証明取込みの再試行と再試行の間、JHOが待機する時間(ミリ秒)を指定します。
|
(デフォルト-500)
|
Yes
|
dword/整数
|
再試行の動作
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Maximum times to retry credential injection
Extensions\AccessManager:
JhoRetryMaxAttempts
|
資格証明の取込みを再試行する回数を指定します。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
応答するJavaイベント
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Hierarchy events
Extensions\AccessManager:
JhoHierarchyEventProcessing
|
認識されるJava階層イベントを指定します。次の構文を使用してフラグを設定します。
HIERARCHY_EVENT_CHANGED = 0x1
これによって、JHOはすべての階層イベントを認識します。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Window events
Extensions\AccessManager:
JhoWindowEventProcessing
|
認識されるJavaウィンドウ・イベントを指定します。
|
次の値の組合せ:
・ WINDOW_EVENT_OPENED = 0x1
・ WINDOW_EVENT_CLOSED = 0x2
・ WINDOW_EVENT_ACTIVATED = 0x4
・ WINDOW_EVENT_DEACTIVATED = 0x8
・ WINDOW_EVENT_CLOSING = 0x10
・ WINDOW_EVENT_ICONIFIED = 0x20
・ WINDOW_EVENT_DEICONIFIED = 0x40
(デフォルト-255 (すべてのウィンドウ・イベントが認識されます。))
Logon Managerを新規にインストールした場合の推奨設定は3です。
|
Yes
|
dword/整数
|
|
Component events
Extensions\AccessManager:
JhoComponentEventProcessing
|
認識されるJavaコンポーネント・イベントを指定します。
|
次の値の組合せ:
・ COMPONENT_EVENT_SHOWN = 0x1
・ COMPONENT_EVENT_HIDDEN = 0x2
・ COMPONENT_EVENT_ADDED = 0x4
・ COMPONENT_EVENT_REMOVED = 0x8
(デフォルト-15 (すべてのコンポーネント・イベントが認識されます。))
Logon Managerを新規にインストールした場合の推奨設定は0xB (11)です。
|
Yes
|
dword/整数
|
|
Injection type
Extensions\AccessManager:
JhoInjectType
|
JHOがデータをコントロールに送信するために使用する取込みタイプを指定します。
|
次のいずれかの値です。
・ INJECT_TYPE_DEFAULT = 0 (デフォルト)
デフォルトでは、取込みが成功するまで、次に示すメソッドをこの順序で使用して取込みを試行します。
・ INJECT_TYPE_METHOD = 1
(コントロールに適切な設定方法が検出された場合)
・ INJECT_TYPE_ACCESSIBLE = 2
(コントロールでアクセシビリティがサポートされている場合)
・ INJECT_TYPE_NONACCESSIBLE = 3
・ INJECT_TYPE_ROBOT = 4
|
|
コンボ・ボックスおよびリスト・ボックスの場合、JHOは常にINJECT_TYPE_METHODを使用します。
|
|
Yes
|
dword/整数
|
ホスト/メインフレーム・アプリケーションのレスポンス
「Host/Mainframe Response」設定では、ホスト/メインフレーム・アプリケーションと連携する場合のエージェントの動作を制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
16-bit screen capture attempts
Extensions\AccessManager\
MHO\ConXP:
16BitTimeouts_ToFallback
|
16ビットのスクリーン・キャプチャを試行する回数を指定します。割り当てられた試行回数後も成功しない場合、エージェントは32ビットの方法に戻ります。
|
(デフォルト-5)
|
Yes
|
dword/整数
|
|
Credential request delay interval
Extensions\AccessManager\
MHO:NotNowDelay
|
メインフレーム・セッションへのログオンを作成するように求める間隔(ミリ秒)を指定します。
パスワードが格納されていない構成済アプリケーションに一致するメインフレーム・セッションにユーザーがログオンすると、エージェントはユーザーに「Would you like Logon Manager to remember your logon information for this application?」というプロンプトを表示します。ユーザーが「Not Now」を選択した場合は、次回ユーザーがメインフレーム画面で任意のキーを押したときに、エージェントは再度ユーザーに同じ質問を表示します。この遅延設定は、エージェントが再度質問を表示するまで待機する時間です。
|
(デフォルト-60000)
|
Yes
|
dword/整数
|
|
Polling interval
Extensions\AccessManager\
MHO:CycleInterval
|
エージェントがホスト・エミュレータにインスタンス間で変更が加えられているかどうかを確認する間隔(ミリ秒)を指定します。値を低くすると、使用するCPU時間が増えます。値を高くすると、画面が表示されてからエージェントが資格証明を提供するまでの時間が長くなります。
|
(デフォルト-700)
|
Yes
|
dword/整数
|
パスワード変更
「Password Change」設定は、エージェントの動作と、パスワード生成および資格証明保持のポリシーを制御します。デフォルト値(該当する場合)は、太字で示されます。
パスワード変更の動作
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Default password policy
Extensions\AccessManager:
DefaultPolicy
|
アプリケーション・テンプレートでポリシーが定義されていない場合にアプリケーション・テンプレートが使用するパスワード生成ポリシーの名前。この設定を定義するには、ドロップダウンでポリシーを選択できるように、定義済/指定済ポリシーが現在コンソールにロードされていることを確認します。
|
|
ここで、またはテンプレートでポリシーが定義されていない場合、8文字の英字のみのデフォルト・ポリシーが適用されます。このため、適切なポリシーを定義することが重要です。
|
|
|
Yes
|
string/O
|
|
Allow user to exclude accounts
from credential sharing groups
Extensions\AccessManager:
AllowExcludePWSG
|
エンド・ユーザーが、割り当てられた資格証明共有グループからアプリケーション・ログオンを除外可能になります。
このオプションを有効にすると、「New Logon」および「Properties」ダイアログ・ボックスにチェック・ボックスが表示され、ユーザーは資格証明共有グループからのアカウントを省略することを選択できるようになります。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Change passwords automatically
Extensions\AccessManager:
QuietGenerator
|
パスワード変更プロセスで、ユーザーに与えられる制御のレベルを指定します。
|
・ No。(デフォルト)
ユーザーが完全に制御し、Logon Managerが自動的にパスワードを変更することはありません。ユーザーがパスワード変更を開始する必要があります。(デフォルト)
・ Yes, with user confirmation。
ユーザーによる制御は部分的であり、Logon Managerはパスワード変更を自動的に開始し、ユーザーに対し、自動生成パスワードを受け入れるか、別のパスワードの生成を要求するか、パスワードを手動で入力することを要求します。
・ Yes, without user confirmation。
ユーザーは制御できず、Logon Managerはパスワード変更を自動的に開始し、パスワードを生成し、ユーザーの介入を許可することなくアプリケーションに生成したパスワードを送信します。
|
Yes
|
dword/O
|
|
Manual password change behavior
Extensions\AccessManager:CPWFlag
|
ユーザーがパスワード変更リクエストを受け取った際のパスワード変更ウィザードの動作を指定します。
|
・ Prompt(デフォルト)パスワード変更ウィザードに従うようにユーザーに求めます。
・ Manual, offer auto。ユーザーに新しいパスワードを選択するように求めますが、パスワード変更ウィザードでパスワードの自動生成の提供も可能です。
・ Auto, offer manual。新しいパスワードを自動生成しますが、ユーザーは新しいパスワードを選択することもできます。
・ Manual only。ユーザーに新しいパスワードを選択するように求め、パスワード変更ウィザードによるパスワードの自動生成を許可しません。
|
Yes
|
dword/O
|
|
Pop-up dialog text after submission
Extensions\AccessManager:
CPVerifyMessage
|
デフォルトのテキストを変更するには、チェック・ボックスを選択して現在のテキストを選択し、新しいテキストを入力します。デフォルトのテキストに戻すには、チェック・ボックスの選択を解除します。
|
デフォルト: After closing this message, verify that the application accepted the password.Select OK if it was accepted.If it was rejected, please try again.
|
Yes
|
string/O
|
許可される文字セット
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Lowercase characters
Extensions\AccessManager:
LowerAlphaChars
|
パスワードに使用できる小文字の英字のリストを指定します。
|
・ 任意の小文字
・ (デフォルト-All lowercase characters)
|
Yes
|
string/O
|
|
Uppercase characters
Extensions\AccessManager: UpperAlphaChars
|
パスワードに使用できる大文字の英字のリストを指定します。
|
・ 任意の大文字
・ (デフォルト-All uppercase characters)
|
Yes
|
string/O
|
|
Numeric characters
Extensions\AccessManager:
NumericChars
|
パスワードに使用できる数字のリストを指定します。
|
・ 任意の数字
・ (デフォルト-All numeric characters)
|
Yes
|
string/O
|
|
Special characters
Extensions\AccessManager:
SpecialChars
|
パスワードに使用できる、英数字以外(特殊)の文字のリストを指定します。
|
!@#$^&*()_-+=[]\|,?(デフォルト)
|
Yes
|
string/O
|
ユーザー・インタフェース
「User Interface」の設定では、ログオン実行時のエージェントの外観、およびLogon Managerおよび「Logon Chooser」ダイアログ・ボックスに表示される情報の外観を制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Language
[Root]:Language
|
ユーザー・インタフェースに表示する言語を指定します。
|
|
その他の値は、ローカライズされたバージョンに応じて使用可能です。
表示フォントで、指定した言語の目的の文字がサポートされている必要があります。
|
|
・ English(デフォルト)
・ Chinese (Simplified)
・ Chinese (Traditional)
・ Czech
・ Danish
・ Dutch
・ Finnish
・ French
・ German
・ Greek
・ Hungarian
・ Italian
・ Japanese
・ Korean
・ Norwegian
・ Polish
・ Portuguese (Brazil)
・ Portuguese (Portugal)
・ Romanian
・ Russian
・ Slovak
・ Spanish
・ Swedish
・ Thai
・ Turkish
|
Yes
|
string/O
|
|
Allow refresh in My Accounts
Extensions\AccessManager:
AllowRefresh
|
「SSO Manager Refresh」ボタンを有効/無効にします。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Columns in "Details" view of My Accounts
Extensions\AccessManager\
LogonManager:Columns
|
省略記号(…)ボタンをクリックして、「Edit Columns」ダイアログ・ボックスを開きます。Logon Managerの列の外観および順序を選択します。
|
・ 1-Application Name
・ 2-URL/Module
・ 3-Username/ID
・ 4-Password
・ 5-Modified
・ 6-Last Used
・ 7-Description
・ 8-Reference
・ 9-Group
・ 10-Third Field
・ 11-Fourth Field
・ (デフォルト-1、2、3、4、5、6、7、8、9)
|
Yes
|
string/O
|
|
Columns in Logon Chooser
Extensions\AccessManager\
LogonChooser:Columns
|
省略記号(…)ボタンをクリックして、「Edit Columns」ダイアログ・ボックスを開きます。エージェントの「Logon Chooser」ダイアログ・ボックスの列の外観および順序を選択します。
|
・ 1-Username/ID
・ 2-Application Name
・ 3-Description
・ (デフォルト-1、2、3)
|
Yes
|
string/O
|
|
Logon animation's duration
Shell:AutoLogonAnimationTime
|
アニメーション・スピナーを表示する(応答を一時停止する)時間(ミリ秒)を指定します。値を0 (デフォルト)にすると、スピナーは無効になります。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
Edit Columns
「Edit Columns」ダイアログ・ボックスは、エージェントのLogon Managerおよび「Logon Chooser」ダイアログ・ボックスの列として表示されるログオンの詳細を選択および順序変更する場合に使用します。
・ 詳細列を追加するには、「Available」リストで列を選択し、「>>」をクリックして選択項目を「Selected」リストに移動します。
・ 詳細列を削除するには、「Selected」リストで列を選択し、「<<」をクリックして選択項目を「Available」リストに移動します。
・ 列の順序を変更するには、「Selected」リストで列を選択し、「Up」または「Dn」をクリックします。
設定ウィザード
設定ウィザードの設定では、First Time Useウィザードの動作を制御します(このウィザードは、Logon Managerをはじめて使用するときに起動されます)。詳細は、「初回使用」を参照してください。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Show first-time-use (FTU) wizard
Extensions\
SetUpManager:
HideWizard
|
First Time Useの起動時に設定ウィザードを表示するかどうかを制御します。
|
|
複数のオーセンティケータ(プライマリ・ログオン方法)をインストールした場合は、リストに最初に記載されたオーセンティケータが、自動的にエンド・ユーザーのプライマリ・ログオン方法として選択されます。
バルク追加機能を使用するために、FTUウィザードを有効にしておく必要があります。
|
|
・ 0-Yes (デフォルト)
・ 1-No
|
Yes
|
dword/O
|
|
Selected authenticator
AUI:FTUShowOnly
|
プライマリ・ログオン方法として選択したログオン方法を有効にし、それ以外のインストール済のログオン方法を非表示にします。
|
|
プライマリ・ログオン方法の選択メニューを非表示にするには、「Show first-time-use (FTU) wizard」設定を使用します。プライマリ・ログオン方法の選択ページが非表示で、この設定が空白である場合は、リスト内の最初にインストールされたログオン方法が自動的に選択されます。
|
|
・ None (デフォルト-エンド・ユーザーは独自のプライマリ・ログオン方法を選択します)
・ MSauth-Windows v2
・ WinAuth-Windows
・ LDAPauth-LDAP v2
・ LDAP-LDAP
・ SCauth-Smart Card
・ ROSCAuth-Read-Only Smart Card
・ ProxcardAuth-Proximity Card
・ SecureIDAuth-RSA SecurID
・ Entrust-Entrust
・ MultiAuth-Authentication Manager
・ UAMAuth-Universal Authentication Manager
|
Yes
|
string/O
|
|
Skip selection page if only one authenticator is installed
AUI:HideSingleSelection
|
1つのオーセンティケータ(プライマリ・ログオン方法)のみをインストールした場合は、設定ウィザードの「Select Primary Logon Method」手順が非表示になります。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
Authentication Manager
「Authentication Manager」設定は、オーセンティケータの数と優先度を制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Allowed number of authenticators
AUI\MultiAuth:MaxPreferred
|
ユーザーが選択できる、エージェントが提供するログオン方法の最大数を指定します。ユーザーがこのログオン方式の数を確認してスキップすると、「Choose Logon」ダイアログ・ボックスが表示されます。
|
|
この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。
|
|
(デフォルト-1)
|
Yes
|
dword/整数
|
「Authentication Manager Enrollment」の設定
「Authentication Manager Enrollment」の設定では、マルチ・オーセンティケータのプライマリ・ログオンで使用できるプライマリ・ログオン方法(オーセンティケータ)を指定します。
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、このページの設定によって、ユーザーが初回使用ウィザードで特定のログオン方法を設定する必要があるかどうかが決まります。これらの設定は、マルチ・オーセンティケータでのみ使用されます。
デフォルト値(該当する場合)は、太字で示されます。
プライマリ・ログオン方法ごとに、次のいずれかを選択します。
・ Disabled。FTUウィザードで、ログオン方法はユーザーに表示されません。
・ Optional。 Logon Managerで、このログオンを構成するかスキップするかを選択できます。ユーザーがログオン要求を遅延した場合、Logon Managerによって再度要求されることはありません(デフォルト)。
・ Required。ユーザーはこのログオンを構成する必要があります。このログオンが構成されない場合、ユーザーは登録を完了できなくなります。
・ Incremental。 Logon Managerで、このログオンを構成するかスキップするかを選択できます。ユーザーがログオン要求を遅延した場合、Logon Managerによってアプリケーションが起動するたびに資格証明が要求されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Windows v2
AUI\MSauth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでWindows v2をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
Windows
AUI\WinAuth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでWindowsをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
|
Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。
|
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
LDAP v2
AUI\LDAPauth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでLDAP v2をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
LDAP
AUI\LDAP:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでLDAPをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
Smart Card
AUI\SCauth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでスマート・カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
Read-Only Smart Card
AUI\ROSCauth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードで読取り専用スマート・カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
Proximity Card
AUI\ProxCardAuth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードで近接型カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
RSA SecurID
AUI\SecureIDAuth:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでRSA SecurIDをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
|
Entrust
AUI\Entrust:AuthState
|
プライマリ・ログオン方法としてAuthentication Managerを選択した場合に、ユーザーが初回使用ウィザードでEntrustをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。
|
・ 0-Disabled
・ 1-Optional(デフォルト)
・ 2-Required
・ 3-Incremental
|
Yes
|
dword/O
|
「Authentication Manager Grade」の設定
「Authentication Manager Grade」の設定では、各プライマリ・ログオン方法の認証グレードを指定します。
認証グレードは数値です。
・ 認証グレードが有効になっており、グレード・レベルが指定されていない場合、認証グレードは自動的にグレード・レベル1に初期設定されます。
・ 高いグレード・レベルが指定されると、リクエストされる認証レベルが強くなります。
・ グレードのスケールは任意に構成できます。たとえば、予期された通常の使用例では、スケールは1から3になりますが、必要に応じて、1から5、または1からnにすることができます。1より小さいすべてのグレードは、1に変換されます。
Authentication Managerをプライマリ・ログオン方法に選択した場合、マルチ・オーセンティケータのプライマリ・ログオンは、使用したオーセンティケータにグレードをマップすることで、認証グレードをサポートします。
ユーザーが低すぎるグレード・レベルで資格証明にアクセスしようとすると、より高いグレードで認証するように求められ、成功した場合のみアクセス権を取得できます。
ロックアウトは、Logon Managerの通常の認証ロックアウト・ポリシーによって発生します。グレード別認証では、SSOのコア認証プロセスを使用するため、これは必然的に発生します。
ログオン方法ごとにグレード値(>=1)を数値で設定します。これらの設定は、マルチ・オーセンティケータでのみ使用されます。デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Windows v2
AUI\MSauth:AuthGrade
|
認証グレードを「Windows v2」に割り当てます。グレード値を数値で設定します(>=1)。高いグレード・レベルが指定されると、リクエストされる認証レベルが強くなります。
|
(デフォルト-1)
|
Yes
|
dword/O
|
|
Windows
AUI\WinAuth:AuthGrade
|
認証グレードを「Windows」に割り当てます。グレード値を数値で設定します(>=1)。
|
|
Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。
|
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
LDAP v2
AUI\LDAPauth:AuthGrade
|
認証グレードを「LDAP v2」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
LDAP
AUI\LDAP:AuthGrade
|
認証グレードを「LDAP」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
Smart Card
AUI\SCauth:AuthGrade
|
認証グレードを「Smart Card」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
Read-Only Smart Card
AUI\ROSCauth:AuthGrade
|
認証グレードを「Read-Only Smart Card」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
Proximity Card
AUI\ProxCardAuth:AuthGrade
|
認証グレードを「Proximity Card」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
RSA SecurID
AUI\SecureIDAuth:AuthGrade
|
認証グレードを「RSA SecurID」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
|
Entrust
AUI\Entrust:AuthGrade
|
認証グレードを「Entrust」に割り当てます。グレード値を数値で設定します(>=1)。
|
?(デフォルト-1)
|
Yes
|
dword/O
|
「Authentication Manager Order」の設定
プライマリ・ログオン方法としてAuthentication Managerを選択した場合、「Authentication Manager Order」の設定では、インストールされているログオン方式が再認証時にエンド・ユーザーに表示される順序を指定します。
プライマリ・ログオン方法ごとに、FTU/ログオン順序でのログオン方法の位置を示す数値を選択または入力します。これらの設定は、マルチ・オーセンティケータでのみ使用されます。デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Windows v2
AUI\MSauth:AuthOrder
|
「Windows v2」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows v2」を表示する順序となります。
|
(デフォルト-2)
|
Yes
|
dword/整数
|
|
Windows
AUI\WinAuth:AuthOrder
|
「Windows」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
|
Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。
|
|
(デフォルト-2)
|
Yes
|
dword/整数
|
|
LDAP v2
AUI\LDAPauth:AuthOrder
|
「LDAP v2」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-3)
|
Yes
|
dword/整数
|
|
LDAP
AUI\LDAP:AuthOrder
|
「LDAP」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-3)
|
Yes
|
dword/整数
|
|
Smart Card
AUI\SCauth:AuthOrder
|
「Smart Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-1)
|
Yes
|
dword/整数
|
|
Read-Only Smart Card
AUI\ROSCauth:AuthOrder
|
「Read-Only Smart Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-1)
|
Yes
|
dword/整数
|
|
Proximity Card
AUI\ProxCardAuth:AuthOrder
|
「Proximity Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-6)
|
Yes
|
dword/整数
|
|
RSA SecurID
AUI\SecureIDAuth:AuthOrder
|
「RSA SecurID」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-6)
|
Yes
|
dword/整数
|
|
Entrust
AUI\Entrust:AuthOrder
|
「Entrust」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。
|
(デフォルト-4)
|
Yes
|
dword/整数
|
「Windows v2」オーセンティケータの設定
「Windows v2」オーセンティケータ設定は、Windows Authenticatorバージョン2の主要なコントロールです。
|
|
Windows Authenticatorバージョン2はLogon Managerの優先オーセンティケータで、デフォルトでインストールされます。オーセンティケータの詳細は、オラクル社のオンライン・ドキュメンテーション・センターにあるベスト・プラクティス・ガイドを参照してください。
|
デフォルト値(該当する場合)は、太字で示されます。
リカバリ
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Recovery method
AUI\MSauth\ResetMethods:
ResetMethodGUID
|
ユーザーのパスワードを変更するときに使用するリセット方法を指定します。
|
・ 4ED42DB8-B8F1-4AE6-B13A-272F74B48FE7-ユーザーパスフレーズ(デフォルト)
・ B623C4E7-A383-4194-A719-7B17D074A70F-ユーザーのSIDを使用したパスフレーズ抑制
・ 7B4235FF-5098-435c-9A05-052426D96AA8-セキュア・キーを使用したパスフレーズ抑制
|
Yes
|
string/O
|
|
Use Windows Data Protection (DPAPI)
AUI\MSauth:UseDPAPI
|
ユーザー・パスワードとリカバリ・キーを使用した従来の2キーシステムではなく、DPAPIキーを使用してKiosk Managerの暗号化鍵を保護するには、Yesを設定します。
|
|
ご使用のActive DirectoryとデスクトップのアーキテクチャがDPAPIに対応し構成できるかどうかを確認するには、MicrosoftとOracleのDPAPIベスト・プラクティスを確認してください。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Window title
AUI\MSauth:WindowTitle
|
このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Window subtitle
AUI\MSauth:WindowSubTitle
|
このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Custom image for authentication prompt
AUI\MSauth:ImagePath
|
ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。
|
|
イメージファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。
|
この設定は、Logon Manager 11.1.1.1.0から含まれています。
|
|
No
|
文字列/ファイル名
|
|
Reauthentication dialog
AUI\MSauth:AuthOptions
|
Logon Managerがエンド・ユーザーに再認証を求めるときに使用する方法を選択します。
|
|
この設定を「Use GINA」と呼びますが、Windows XPより新しいオペレーティング・システムの資格証明プロバイダのメカニズムにも適用されます。
|
|
・ 0-Use SSO dialog。(デフォルト)
再認証が必要になるたびに、また最初の登録で、ユーザーに認証ダイアログ・ボックスが表示されます。
・ 1-Use GINA。
Windowsデスクトップがロックされ、ユーザーは(GINAまたは資格証明プロバイダがインストールされた)オペレーティング・システムに対して再認証して、Logon Managerのロックを解除する必要があります。
|
Yes
|
dword/O
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Include in Domain credential sharing group
AUI\MSauth:PWSEnable
|
オーセンティケータから「Domain」と呼ばれる特別な資格証明共有グループへの資格証明の共有を可能にします。オーセンティケータが新しいパスワードを検出するたびに、そのパスワードは自動的にDomain資格証明共有グループと共有されます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Share credentials with other authenticators
AUI\MSauth:
ShareCredsToAuths
|
この設定は、オーセンティケータの資格証明をリンクすることで二重認証をなくします。複数のオーセンティケータで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、HKLM\ Software\ Oracle\ AUIの下にあるリストを参照してください。
|
|
|
Yes
|
文字列/文字列
|
|
Share credentials with synchronizers
AUI\MSauth:
ShareCredsToSyncs
|
この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。
資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,LDAPEXT)。
|
|
他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(HKLM\Software\Passlogix\Extensions\SyncManagerの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
「Windows v2」オーセンティケータのパスフレーズの設定
「Advanced Windows v2 Primary Logon Methods」設定は、Windows Authenticatorバージョン2の拡張オプションを制御します。
デフォルト値(該当する場合)は、太字で示されます。
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Message
AUI\MSauth\Reset:
PassphraseMessage
|
この設定は、ユーザーに同意を求める形式のダイアログを表示して、ユーザーがそのダイアログ内のチェック・ボックスを選択しないかぎり続行できないようにする場合に使用します。この設定は、ユーザーが入力するパスフレーズの重要性を示す場合などに使用します。ボックスを選択し必要なメッセージを入力します。
|
|
このメッセージには、複数行にまたがって最大180文字を含めることができます。文字列\nは、復帰改行文字に置き換えられます。この設定を設定しないと、このダイアログ・ボックスはスキップされます。
|
|
|
Yes
|
文字列/文字列
|
|
Message dialog title
AUI\MSauth\Reset:
PassphraseDialogTitle
|
この設定は、ユーザーに同意を求める形式のダイアログ・タイトルをカスタマイズする場合に使用します。ボックスを選択し必要なタイトルを入力します。
|
|
Yes
|
文字列/文字列
|
|
Checkbox label
AUI\MSauth\Reset:
PassphraseChkboxMsg
|
この設定は、ユーザーに同意を求める形式のダイアログ・チェック・ボックスをカスタマイズする場合に使用します。ボックスを選択し必要なラベルを入力します。
|
|
ダイアログを終了するには、このチェック・ボックスを選択する必要があります。このチェック・ボックスを選択するまで、「OK」ボタンは無効になります。
|
|
|
Yes
|
文字列/文字列
|
オプション
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Minimum Length
AUI\MSauth\Reset:
MinPassphraseLength
|
パスフレーズに必要とされる長さのデフォルト。特定の質問に最小限必要な長さを設定した場合は、この設定をオーバーライドします。
|
8-デフォルト
|
Yes
|
dword/整数
|
|
User can change passphrase
AUI\MSauth:
ShowChangeAnswerOption
|
ユーザーが確認の質問に対する応答を変更できるようにするかどうかを切り替えます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Reset with old password
AUI\MSauth:ResetWOP
|
前のパスワードをパスフレーズ・プロセスで使用できるようにします。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Force password re-enrollment when using old password to reset
AUI\MSauth:RWOPSkipReset
|
ユーザーがLogon Managerのパスフレーズ・プロンプトをスキップできるかどうかを指定します。この機能を有効にした場合は、ユーザーが以前のWindowsパスワードを入力すると、以後Logon Managerはユーザーに新しいパスフレーズの入力を求めなくなります。
|
|
この機能を無効にすると、Logon Managerに対する完全ロックアウトが発生する可能性があります。ロックアウトは、ユーザーがパスフレーズとWindowsパスワードを忘れてしまった場合に発生します。この場合、ユーザーはLogon Managerから完全にロックアウトされます。
|
|
・ 0-Yes (デフォルト)
・ 1-No
|
Yes
|
dword/O
|
「Windows」オーセンティケータの設定
「Windows」オーセンティケータ設定は、Windows Authenticatorの主要なコントロールです。
デフォルト値(該当する場合)は、太字で示されます。
|
|
Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Window title
AUI\WinAuth:
WindowTitle
|
このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Window subtitle
AUI\WinAuth:
WindowSubTitle
|
このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Custom image for authentication prompt
AUI\WinAuth:ImagePath
|
ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。
|
|
イメージファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。
|
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
No
|
文字列/ファイル名
|
|
Require old password when Windows password changes
AUI\WinAuth:PWEnable
|
新しいパスワードに変更する場合に旧パスワードの入力を要求して、セキュリティを強化します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with other authenticators
AUI\WinAuth:
ShareCredsToAuths
|
この設定は、オーセンティケータの資格証明をリンクすることで二重認証をなくします。複数のオーセンティケータで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、HKLM\ Software\ Oracle\ AUIの下にあるリストを参照してください。
|
|
|
Yes
|
文字列/文字列
|
|
Share credentials with synchronizers
AUI\WinAuth:
ShareCredsToSyncs
|
この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。
資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,LDAPEXT)。
|
|
他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(HKLM\Software\Passlogix\Extensions\SyncManagerの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
「LDAP v2」オーセンティケータの設定
「LDAP v2」オーセンティケータ設定は、LDAPバージョン2認証を有効にするための主要なコントロールです。
デフォルト値(該当する場合)は、太字で示されます。
接続情報
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Servers
AUI\LDAPauth\
Servers:ServerN
|
computer[:port]形式で試行するサーバーを入力します(1行に1台のサーバー)。computerには、サーバー名またはIPを指定します。portを省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。
例:
・ 127.0.0.1
・ 127.0.0.1:456
・ somewhereelse.com:8080
・ anotherplace.com
|
|
この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。
|
|
|
No
|
string/O
|
|
User paths
AUI\LDAPauth: UserPathN
|
ユーザー・アカウントの場所を示す完全修飾されたパスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。見つからない場合は、ディレクトリ・ツリーが検索されます。
|
|
この拡張が機能するには、「UserPrepend」の値または「UserPath」の1つ以上の値を指定する必要があります。UserPathsを使用する場合は、UserLocationを使用しないでください。
|
|
|
Yes
|
string/O
|
|
Use SSL
AUI\LDAPauth:UseSSL
|
SSLで接続するかどうかを指定します。
|
・ 0-No (セキュアではありません)(デフォルトのポート番号389)
・ 1-Yes (デフォルトのポート番号636)(デフォルト)
|
Yes
|
dword/O
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Window title
AUI\LDAPauth:WindowTitle
|
このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Show user path
AUI\LDAPAuth:ShowUserPath
|
この設定を有効にすると、LDAP v2の認証ダイアログ・ボックスに「User path」コンボ・ボックスが表示されます。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Custom image for authentication prompt
AUI\LDAPAuth:ImagePath
|
ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。
|
|
イメージファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。
|
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
Yes
|
文字列/ファイル名
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with other authenticators
Registry node: AUI\LDAPauth:
ShareCredsToAuths
|
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、HKLM\Software\Oracle\AUIの下にあるリストを参照してください。
|
|
|
Yes
|
文字列/文字列
|
|
Share credentials with synchronizers
AUI\LDAPauth:
ShareCredsToSyncs
|
資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,LDAPEXT)。
|
|
他のシンクロナイザ名を指定するには、HKLM\Software\ Oracle\ Extensions\ SyncManagerの下にあるリストを参照してください。
|
|
|
Yes
|
文字列/文字列
|
|
Include in LDAP credential sharing group
AUI\LDAPauth:PWSEnable
|
使用しているオーセンティケータからグループ・ドメイン内の資格証明の共有を可能にします。(また、AccessManager:PWSEnableを有効にする必要があります。)
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
「LDAP v2」オーセンティケータの特定用途の設定
「LDAP v2」オーセンティケータの特別用途の設定では、標準のLDAP v2認証を有効にする特別用途のオプションを制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Naming attribute string
AUI\LDAPauth:
UserPrepend
|
ユーザーのDNが次の形式である場合に、UserPathsの前に付加する文字列。
・ cn=%UserName%,ou=people,dc=computer
次の書式の場合は、必須ではありません。
・ namingattribute= %UserName%, ou=people, dc=computer
(namingattributeは任意の文字列)
|
|
注意: Novell eDirectoryの場合は、この値を通常cnに設定する必要があります。UserPrependを使用する場合は、UserPathNを使用し、UserLocationは使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
|
BIND timeout
AUI\LDAPauth:Timeout
|
LDAP BINDコールのタイムアウトの長さ(ミリ秒)を入力します。
|
(デフォルトはオペレーティング・システムによって異なります)
|
Yes
|
dword/整数
|
|
Alternate user ID location
AUI\LDAPauth:
UserLocation
|
ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。
例: ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトが次にあるとします。
・ ou=people,dc=computer
この場合、UserLocationを次のように設定します。
・ empid=%user,ou=people,dc=computer
次のようには設定しないでください。
・ uid=user,ou=people,dc=computer
|
|
Novell eDirectoryの場合、UserLocationはuid=%user,オブジェクトへのパスである必要があります。
UserLocationを使用する場合は、UserPrependおよびUserPathsを使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
「LDAP」オーセンティケータの設定
「LDAP」オーセンティケータ設定は、標準のLDAP認証を有効にするための主要なコントロールです。これらの設定は、エージェントがLDAPをプライマリ・ログオン方法として使用するために使用する必要があります。
デフォルト値(該当する場合)は、太字で示されます。
接続情報
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Directory type
AUI\LDAP:DirectoryType
|
ディレクトリ・サーバーのタイプを指定します。ディレクトリ・サーバーが示されていない場合は、「Generic LDAP Directory」を選択します。
|
・ 0-Unspecified LDAP Directory
・ 3-Novell eDirectory
・ 5-Generic LDAP Directory(デフォルト)
・ 8-Oracle Directory Server Enterprise Edition
・ 9-IBM Tivoli Directory Server
・ 10-Oracle Internet Directory
・ 11-Siemens DirX Directory Server
|
Yes
|
dword/O
|
|
Servers
AUI\LDAP\Servers:ServerN
|
computer[:port]形式で試行するサーバーを入力します(1行に1台のサーバー)。computerには、サーバー名またはIPを指定します。portを省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。
例
・ 127.0.0.1
・ 127.0.0.1:456
・ somewhereelse.com:8080
・ anotherplace.com
|
|
この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。
|
|
|
No
|
string/O
|
|
User paths
AUI\LDAP:UserPathN
|
ユーザー・アカウントの場所を示す完全修飾されたパスを指定します。
検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。アカウントが見つからない場合は、ディレクトリ・ツリーが検索されます。
|
|
この拡張が機能するには、「UserPrepend」の値または「UserPaths」の1つ以上の値を指定する必要があります。
UserPathsを使用する場合は、UserLocationを使用しないでください。
|
|
|
Yes
|
string/O
|
|
Use SSL
AUI\LDAP:UseSSL
|
SSLで接続するかどうかを指定します。
|
・ No。(セキュアではありません)(デフォルトのポート番号389)
・ Yes。(デフォルトのポート番号636) (デフォルト)
|
Yes
|
dword/O
|
Active Directory
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Enable Domain name support
AUI\LDAPauth:UsingAD
|
Active Directoryドメイン名サポートを有効にします。エンド・ユーザーは、プライマリ・ログオンでドメイン名(domainname\usernameなど)を指定できます。
また、管理者はデフォルト・ドメイン名を指定して(後述の「Active Directory: Default Domain name」設定を参照)、エンド・ユーザーがユーザー名のみでログオンできるようにすることができます。ドメインを指定しない場合、Logon Managerはローカル・ワークステーションのドメインを使用します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Default Domain name
AUI\LDAP:ADDomain
|
ユーザー名/ID資格証明にドメインを指定していない場合に、プライマリ・ログオンに使用するActive Directoryドメイン名(domainname\usernameなど)。
この設定は、「Active Directory: Domain name support enabled」を「Use AD domain names」に設定している場合にのみ使用します。ドメイン名サポートが有効で、この設定が空白である(エンド・ユーザーがドメインを指定していない)場合、Logon Managerはローカル・ワークステーションのドメインを使用します。
|
|
Yes
|
文字列/文字列
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Window title
AUI\LDAP:WindowTitle
|
このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window title
AUI\LDAPauth:
CAP_WindowTitle
|
この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window subtitle
AUI\LDAPauth:
CAP_WindowSubTitle
|
この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Custom image for authentication prompt
AUI\LDAP:ImagePath
|
ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。
|
|
イメージファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。
|
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
|
No
|
文字列/ファイル名
|
|
Show user path
AUI\LDAP:ShowUserPath
|
この設定を使用して、LDAPの認証ダイアログ・ボックスの「User Path」コンボ・ボックスの表示/非表示を切り替えます。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with other authenticators
AUI\LDAP:
ShareCredsToAuths
|
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します。たとえば、WinAuth, MSAuthです。
|
|
他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(HKLM\Software\Passlogix\AUIの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
|
Share credentials with synchronizers
AUI\LDAP:
ShareCredsToSyncs
|
資格証明を共有するシンクロナイザのカンマ区切りリストを入力します。たとえば、ADEXT,LDAPEXTです。
|
|
他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(HKLM\Software\Passlogix\Extensions\ SyncManagerの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
「LDAP」オーセンティケータの特定用途の設定
「LDAP」オーセンティケータの特別用途の設定では、標準のLDAP認証を有効にする特別用途のオプションを制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Naming attribute string
AUI\LDAP:UserPrepend
|
ユーザーのDNが次の形式である場合に、UserPathsの前に付加する文字列を指定します。
・ cn=%UserName%,ou=people,dc=computer
次の書式の場合は、必須ではありません。
・ namingattribute=%UserName%, ou=people,dc=computer
(namingattributeは任意の文字列)
|
|
注意: Novell eDirectoryの場合は、この値を通常cnに設定する必要があります。
UserPrependを使用する場合は、UserPathNを使用し、UserLocationは使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
|
BIND timeout
AUI\LDAP:Timeout
|
LDAP BINDコールのタイムアウト(ミリ秒)を指定します。
|
デフォルトはオペレーティング・システムによって異なります。
|
Yes
|
dword/整数
|
|
Alternate user ID location
AUI\LDAP:UserLocation
|
ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。
例
ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトがou=people,dc=computerにある場合は、UserLocationを次のように設定します。
・ empid=%user,ou=people,dc=computer
次のようには設定しないでください。
・ uid=user,ou=people,dc=computer
|
|
Novell eDirectoryの場合、UserLocationは
uid=%user,オブジェクトへのパスである必要があります。
UserLocationを使用する場合は、UserPrependおよびUserPathsを使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
|
Enable directory search for users
AUI\LDAP:LDAPBindSearch
|
ユーザー・アカウントのディレクトリ検索を有効または無効にします。
指定されたパスにユーザー・アカウントが見つからない場合、オーセンティケータは、その場所から下方向にディレクトリ・ツリーを検索します。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。
|
・ 0-No (デフォルト) 1-Yes
|
Yes
|
dword/O
|
厳密なオーセンティケータについて
Logon Managerには、LDAPログオンやWindowsログオンなどの標準のログオン方法と、スマート・カード、近接型デバイス、およびRSA SecurIDトークンのような厳密なオーセンティケータの両方が用意されています。Logon Managerを組織で使用すると、厳密なオーセンティケータを自社のアプリケーションすべてに対してシームレスに展開することができます。ユーザーはその時々において多様なオーセンティケータを使用でき、使用されたオーセンティケータに基づいてアプリケーション・アクセスを制御できます。
|
|
サポートされている最新の認証デバイスのリストについては、Oracle Enterprise Single Sign-on Suite Plusリリース・ノートを参照してください。
|
Logon Managerでは、初期認証、再認証、強制認証などのあらゆる認証イベントに対して、様々な厳密なオーセンティケータがサポートされます。
この項では、Logon Managerで使用するオーセンティケータを厳密なオーセンティケータにできるようにするための固有の設定について説明します。また、Kiosk Managerとの統合に必要なOracle Enterprise Single Sign-On Administrative Consoleのすべての設定と手順、厳密なオーセンティケータに関する既知の問題や技術的な注意事項についても説明します。
厳密なオーセンティケータの構成設定
この項に示されていない厳密なオーセンティケータを使用している場合、適用する必要がある固有の設定または関連する技術的な注意事項はありません。
厳密なオーセンティケータを選択するか、またはKiosk Managerの統合に関する注意事項を参照してください。これはすべてのオーセンティケータに該当します。
・ Smart Card
・ 読取り専用スマート・カード
・ 近接型カード
・ RSA SecurID
・ セキュアなデータ記憶域
・ Kiosk Managerの統合の注意点
スマート・カード
スマート・カード設定は、Oracle Enterprise Single Sign-On Administrative Consoleの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、スマート・カードをKiosk Managerに統合するために必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。
Administrative Consoleの設定
スマート・カード設定では、スマート・カード認証を対象とした拡張オプションを制御します。これらの設定は必須ではありません。
スマート・カード設定にアクセスするには、「Global Agent Settings」→「Live」→「Authentication」→「Smart Card」の順にクリックします。これらの設定の詳細は、スマート・カード認証に関する項を参照してください。
スマート・カードの初期化
Authentication Managerを使用する前にスマート・カードを初期化し、有効なPINを指定しておく必要があります。Authentication Managerがスマート・カードの証明書を使用するように構成されている場合、スマート・カードには有効なPKI証明書を含める必要があります。Kiosk Managerでスマート・カードも使用する場合は、シリアル番号が必要です。
Authentication Managerにはスマート・カードの初期化、構成または管理の機能はないため、サードパーティのカード・マネジメント・システム(CMS)またはご使用のスマート・カードと互換性があるミドルウェア管理ユーティリティを使用し、この手順を実行する必要があります。
Kiosk Managerとの統合
次の情報は、Kiosk Managerでスマート・カード・オーセンティケータを使用する場合にも該当します。
同期資格証明のKiosk Managerへの格納および受渡しとスマート・カード統合のサポート:
Kiosk Managerでスマート・カード・オーセンティケータを使用する場合、ユーザーの同期資格証明は、オーセンティケータによって必要に応じてスマート・カードに格納されます。この方法で格納する場合、ユーザーがスマート・カードをリーダーに挿入して正しいPINを入力することによってKiosk Managerセッションを開始した後、資格証明がLogon Managerへサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身のスマート・カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。
.NETスマート・カード
.NETカードの技術的な制限により、.NETスマート・カードをKiosk Managerで使用する際、Kiosk Managerがロックされているときにスマート・カードを挿入すると、常に新規セッションが開始されます。既存のセッションのロックを解除するには、「Unlock Existing Session」リンクをクリックします。
スマート・カードがプライマリ・ログオン方法の場合、Kiosk ManagerセッションとLogon Managerの認証プロンプトを切り分ける:
スマート・カードをプライマリ・ログオン方法で使用するKiosk Manager環境では、Kiosk ManagerとLogon Managerのそれぞれに対して認証するように求められます。
これはスマート・カード認証が、スマート・カードを開始するプロセスに対してのみ有効であり、プロセス間で共有できないために発生します。このことは、スマート・カード・ミドルウェアの設計上の特性であり、Oracleソフトウェアの特性ではありません。
Kiosk Managerセッションが開始すると、認証のためにスマート・カード・ミドルウェアへ問合せを行い、スマート・カードおよびPINを介してユーザーに認証が求められます。この認証は、Kiosk Managerプロセスに対してのみ有効であるため、Kiosk Managerセッションが正常に作成されてLogon Managerが起動すると、再び今度はLogon Managerに対する認証が行われます。
この重複するプロンプトが表示されないようにするには、AD/AD LDS (ADAM)シンクロナイザでカードの証明書を使用し、スマート・カードのオーセンティケータとシンクロナイザが証明書を共有するように構成します。次の設定を構成します。
・ 「Global Agent Settings」のスマート・カード・オーセンティケータのページで、「Share credentials with synchronizers」の設定リストにADEXTまたはADAMSyncExtを追加します。
・ 「Global Agent Settings」のAD/AD LDS (ADAM)シンクロナイザのページの「Credential sharing group」で、「Share credentials with authenticators」の設定リストにSCAuthを追加します。
・ 「Global Agent Settings」のAD/AD LDS (ADAM)シンクロナイザのページの「Connection information group」で、使用する資格証明に「Use card's certificate」を選択します。
・ 「Global Agent Settings」の「Kiosk Manager」ページで、「Strong authenticator options group」下の「Pre-populate on startup」の設定を無効にします。
HID Crescendo C200およびC700スマート・カード:
Kiosk Managerで、スマート・カードにHID Crescendo C200またはC700を使用する場合、スマート・カード専用のリーダーを使用する必要があります。二重機能のスマート・カードや近接型カード・リーダーの使用は、サポートされていません。Microsoft Updateカタログ(http://test.catalog.update.microsoft.com/v7/site/search.aspx?q=umdf)から、HID Crescendo C200のミニドライバをインストールする必要があります。
SSOで生成されるキーの使用に関する技術的な注意事項
(Logon ManagerのAdministrative Consoleの「Global Agent Settings」→「Authentication」→「Smart Card」の)「Use default certificate for authentication」に「No」を設定すると、ユーザーは、初回使用時(以降FTU)の登録プロセスでPINの入力を2回求められます。
これは正常であり、SSOキーセットを作成するために必要です。
FTU以降の後続の認証では、PINの入力は1回のみ求められます。
スマート・カード・ミドルウェア
ここに示す技術的な注意事項は、スマート・カード・ミドルウェアでの既知の問題と考慮事項に関するものです。
Gemplus Libraries 4.20とAuthentication Managerの使用
再認証イベントでPINのダイアログが表示されません。Logon Managerに対する認証で、初回の認証は正常にPINダイアログが表示され、正常な認証が許可されます。その後の短時間の再認証イベントではPINダイアログが表示されず、正常に認証されません。
これを回避するには、認証を求めるLogon Managerプロセスを再起動します。
Netmaker Net iD 4.6とKiosk Managerの使用
Kiosk Managerの新規セッションを開始しても、ユーザーの同期資格証明が読み取られません。セッションを開始するには、PINを入力した後に、手動で同期資格証明を入力する必要があります。
RSA RAC 2.0 / Smartcard Middleware 2.0とKiosk Managerの使用
RSA Middlewareでは、Kiosk Managerがロックされているときにスマート・カードがリーダーに挿入されると、スマート・カードが存在しない旨がレポートされます。セッションは、手動で起動する必要があります。Kiosk Managerのロックを解除して、スマート・カードを使用してLogon Managerを認証すると、想定どおりに動作します。
スマート・カード・ミドルウェアのデフォルトのライブラリ・パスの場所
次の表は、サポートされるすべてのスマート・カード・ミドルウェアについて、デフォルトのインストール・パスが示されています。 ここでは、「Read Only Smart Card」→「Advanced」および「Smart Card」→「Advanced」パネルで、「PKCS #11 Library Path」フィールドに入力するパスの例を示します。
スマート・カード
|
Axalto Access Client Software 5.2
|
C:\Program Files\Axalto\Access Client\v5\xltCk.dll
|
|
GemSafe Libraries 4.2.0
|
C:\Program Files\Gemplus\GemSafe Libraries\BIN\GCLIB.DLL
|
|
HID C700 middleware
|
aetpkss1.dll
|
|
NetMaker Net iD 4.6
|
iidp11.dll
|
|
RSA Authentication Client 2.0 / Smartcard Middleware 2.0
|
C:\Program Files\RSA Security\RSA Authentication Client\Pkcs11.dll
|
|
SafeSign/RaakSign Standard 2.3
|
aetpkss1.dll
|
|
Schlumberger Cyberflex Access 4.5
|
C:\Program Files\Schlumberger\Smart Cards and Terminals\Cyberflex Access Kits\v4\slbCk.dll
|
|
Siemens 3.2.41 (CardOS API v3.2)
|
siecap11.dll
|
読取り専用スマート・カード
|
Fujitsu mPollux DigiSign Client 1.3.2-34(1671)
|
C:\Program Files\Fujitsu Services\Fujitsu mPollux DigiSign Client\Cryptoki.dll
|
|
SafeSign Identity Client 2.2.0
|
aetpkss1.dll
|
|
|
前述の、ファイル名のみで完全修飾されたパスではないファイルは、システム・ディレクトリ内に存在するため、フルパスは必要ありません。
この表に示す完全修飾されたパスのないファイルは、いずれもシステム・ディレクトリに存在するため、指定時にフルパスを必要としません。
|
「Smart Card」オーセンティケータの設定
スマート・カード・オーセンティケータの設定では、スマート・カード認証を対象とした拡張オプションを制御します。また、Kiosk Managerを使用した構成と技術的な注意事項については、厳密なオーセンティケータの項の「スマート・カード」を参照してください。
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Smart card library
AUI\SCauth:
SmartCardAPI
|
スマート・カード上での暗号化操作の実行に、暗号サービス・プロバイダ(CSP)またはPKCS #11ライブラリを使用するかどうかを指定します。
|
|
SafeSign/RaakSignミドルウェアを使用する場合にのみPKCS # 11を設定します。
|
|
・ 0-CSP (デフォルト)
・ 1-PKCS#11
|
Yes
|
dword/O
|
|
Use default certificate for authentication
AUI\SCauth:
UseCertOnCard
|
カードのデフォルトのログオン証明書(管理者が指定した)を認証に使用するかどうかを指定します。この設定が無効の場合(デフォルト)、カード上のSSOコンテナの公開鍵/秘密鍵を使用(および必要に応じて作成)します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Store synchronization credentials
AUI\SCauth:
StoreSyncCreds
|
スマート・カードにユーザーの同期リポジトリ資格証明を格納するかどうかを指定します。
Kiosk Managerとともにスマート・カード認証を使用する場合、または読取り専用のスマート・カード・オーセンティケータを使用する場合(あるいはその両方)に、資格証明を格納します。
|
|
読取り/書込み操作では認証プロセスの時間が増えるため、スマート・カード上に資格証明を格納しない場合はパフォーマンスが向上します。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Store the PIN
AUI\SCauth:
AuthOptions
|
スマート・カードPINを保存するか(この結果、AgentがPINを要求する場合があります)、スマート・カード・ドライバでPINの要求を処理するかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
PKCS#11 Library Path
AUI\SCAuth:PKCS11Path
|
PKCS#11標準を実装するスマート・カード・ミドルウェア・ファイルへのパスを指定します。
|
|
Yes
|
文字列/文字列
|
|
Custom certificate check extension path
AUI\SCAuth:CCCEPath
|
カスタム証明書の検証機能へのパスを指定します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Allow secure PIN entry
AUI\SCAuth:AllowSPE
|
セキュアなPINエントリをサポートするスマート・カード・リーダーのキーパットで、ユーザーがPINを入力できるかどうかを指定します。
|
|
セキュアなPINエントリを、PINリカバリ・グループとともに使用することはできません。
|
|
・ 0-SPEログイン以外の場合にのみ可能(デフォルト)
・ 1-SPEログインの場合のみ可能
|
Yes
|
dword/O
|
|
Lock desktop on smart card removal
AUI\SCauth:LockDesktopOnRemoval
|
スマート・カード所有者がリーダーからスマート・カードを取り外したときに、デスクトップをロックするかどうかを指定します。デフォルトでは、この値は「No」に設定されています。「Yes」を設定すると、スマート・カードを取り外したときに、ユーザーのワークステーションがロックされます。
ユーザーが[Ctrl]+[Alt]-[Delete]キーを使用して使用してデスクトップをロックした場合、認証ステータスは変更されません。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Allow forced verification
AUI\SCauth:
AllowForcedVerification
|
スマート・カードでWindowsを認証した後、Logon Managerで自動的にユーザーを認証するかどうかを指定します。
「No」(デフォルト)を設定すると、ユーザーはWindowsログオンとLogon Manager認証の両方にPINを入力する必要があります。「Yes」を設定すると、Logon Managerは自動的にユーザーを認証するため、PINプロンプトが2回表示されることはなくなり、ユーザーはWindowsの認証にのみPINを入力する必要があります。
|
|
この機能を使用するには、Logon Managerでネットワーク・プロバイダをインストールする必要があります。これは、「Authenticators」の下の「Advanced Setup」パネルでのインストール時に可能です。詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Window title
AUI\SCauth:WindowTitle
|
このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Window subtitle
AUI\SCauth:
WindowSubTitle
|
このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
リカバリ
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Recovery method
AUI\SCauth:ResetEnable
|
使用するリセット・パスフレーズを誰が指定するかを指定します。
・ ユーザー(ダイアログ・ボックスでパスフレーズを入力)
・ カード自身のデフォルト以外の最新の暗号化証明書
または
・ スマート・カードのPIN
|
・ 1-パスフレーズ(デフォルト)
・ 2-暗号化証明書
・ 3-スマート・カードのPIN
|
Yes
|
dword/O
|
|
Recovery certificate object identifier
AUI\SCAuth:ResetCertOID
|
証明書ベースのパスフレーズ機能を使用するために、証明書のオブジェクト識別子を指定します。オーセンティケータは、スマート・カード上の各証明書のEnhanced Key Attributesで、このオブジェクト識別子を検索します。
|
|
「Recovery method」オプションに暗号化証明書を設定する必要があります。
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
PIN recovery group
AUI\SCauth:
PINRecoveryDomainGroupName
|
PINリカバリ・グループのドメイン・セキュリティ・グループ名(ドメイン\グループの形式)を入力します。このグループのメンバーは、Logon Managerに対して、スマート・カードを使用せずPINのみを使用して認証する権限があります。
この設定は、ユーザーがカードを紛失し、交換を待っている場合に役に立ちます。待っている間、ユーザーがLogon Managerに対してカードを使用せずに認証できるように、ユーザーをこのPINリカバリ・グループに追加します。この機能を使用するには、前述の「Recovery method」設定に、スマート・カードのPINを設定する必要があります。
|
|
PINリカバリ・グループをセキュアなPINエントリとともに使用することはできません。
|
|
|
Yes
|
文字列/文字列
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with synchronizers
AUI\SCauth:ShareCredsToSyncs
|
この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。
資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,ADAMSyncEXT)。
|
|
他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(HKLM\Software\Passlogix\Extensions\SyncManagerの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
読取り専用スマート・カード
読取り専用スマート・カード設定は、Oracle Enterprise Single Sign-On Administrative Consoleの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、スマート・カードをKiosk Managerに統合するために必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。
Administrative Consoleの設定
読取り専用スマート・カード設定では、読取り専用スマート・カード認証を対象とした拡張オプションを制御します。これらの設定は必須ではありません。
スマート・カード設定にアクセスするには、「Global Agent Settings」→「Live」→「Authentication」→「Read Only Smart Card」の順にクリックします。これらの設定の詳細は、読取り専用スマート・カード認証に関する項を参照してください。
読取り専用スマート・カードの初期化
Authentication Managerを使用する前に読取り専用スマート・カードを初期化し、有効なPINおよびPKI証明書を指定しておく必要があります。Kiosk Managerでスマート・カードも使用する場合は、シリアル番号が必要です。
Authentication Managerにはスマート・カードの初期化、構成または管理の機能はないため、サードパーティのカード・マネジメント・システム(CMS)またはご使用のスマート・カードと互換性があるミドルウェア管理ユーティリティを使用し、この手順を実行する必要があります。
Kiosk Managerとの統合
同期資格証明のKiosk Managerへの格納および受渡しと読取り専用スマート・カード統合のサポート:
Kiosk Managerで読取り専用スマート・カード・オーセンティケータを使用する場合、「Store Synchronization Credentials」に「Yes」を設定し、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明が必要に応じてスマート・カードに格納されます。この方法で格納する場合、ユーザーが読取り専用スマート・カードをリーダーに挿入して正しいPINを入力することによってKiosk Managerセッションを開始した後、資格証明がLogon Managerへサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身の読取り専用スマート・カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。
読取り専用スマート・カードがプライマリ・ログオン方法の場合、Kiosk ManagerセッションとLogon Managerの認証プロンプトを切り分ける
読取り専用スマート・カードをプライマリ・ログオン方法で使用するKiosk Manager環境では、Kiosk ManagerとLogon Managerのそれぞれに対して認証するように求められます。
これはスマート・カード認証が、スマート・カードを開始するプロセスに対してのみ有効であり、プロセス間で共有できないために発生します。このことは、スマート・カード・ミドルウェアの設計上の特性であり、Oracleソフトウェアの特性ではありません。
Kiosk Managerセッションが開始すると、認証のためにスマート・カード・ミドルウェアへ問合せを行い、スマート・カードおよびPINを介してユーザーに認証が求められます。この認証は、Kiosk Managerプロセスに対してのみ有効であるため、Kiosk Managerセッションが正常に作成されてLogon Managerが起動すると、再び今度はLogon Managerに対する認証が行われます。
この動作の回避方法は現在ありません。
「Read-Only Smart Card」オーセンティケータの設定
読取り専用スマート・カード・オーセンティケータの設定では、読取り専用スマート・カード認証を対象とした拡張オプションを制御します。 また、Kiosk Managerを使用した構成と技術的な注意事項については、厳密なオーセンティケータの項の「読取り専用スマート・カード」を参照してください。
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Store synchronization credentials
AUI\ROSCauth:
StoreSyncCreds
|
セキュアなデータ記憶域を使用してユーザーの同期リポジトリ資格証明を格納するかどうかを指定します。
|
|
この設定を使用するには、セキュアなデータ記憶域を使用可能にして構成しておく必要があります。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
PKCS#11 Library Path
AUI\ROSCAuth: PKCS11Path
|
PKCS#11標準を実装するスマート・カード・ミドルウェア・ファイルへのパスを指定します。
|
|
このエントリは、「Store synchronization credentials」に「Yes」を設定するか、または読取り専用スマート・カードをKiosk Managerで使用する場合を除いて、必要ありません。
|
|
|
Yes
|
文字列/文字列
|
|
Custom certificate check extension path
AUI\ROSCauth:CCCEPath
|
カスタム証明書の検証機能へのパスを指定します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Allow secure PIN entry
AUI\ROSCauth:AllowSPE
|
この設定を使用して、セキュアなPINエントリをサポートするスマート・カード・リーダーのキーパットで、ユーザーがPINを入力できるようにします。
|
・ 0-SPEログイン以外の場合にのみ可能(デフォルト)
・ 1-SPEログインの場合のみ可能
|
Yes
|
dword/O
|
リカバリ
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Recovery method
AUI\ROSCauth:
ResetEnable
|
リセット・パスフレーズの使用を有効化します。パスフレーズは、ユーザー(ダイアログ・ボックスでパスフレーズを入力)、またはカード上のデフォルト以外の最新の暗号化証明書によって指定できます。
|
・ 1-パスフレーズ(デフォルト)
・ 2-暗号化証明書
|
Yes
|
dword/O
|
|
Recovery certificate object identifier
AUI\ROSCAuth:
ResetCertOID
|
証明書ベースのパスフレーズ機能に使用される証明書のオブジェクト識別子を指定します。オーセンティケータは、スマート・カード上の各証明書のEnhanced Key Attributesで、このオブジェクト識別子を検索します。
|
|
「Recovery method」オプションに暗号化証明書を設定する必要があります。このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
近接型カード
近接型カード設定は、Oracle Enterprise Single Sign-On Administrative Consoleの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、ADまたはAD LDS (ADAM)を使用する場合に必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。
Administrative Consoleの設定
近接型カード設定にアクセスするには、「Global Agent Settings」→「Live」→「Authentication」→「Proximity Card」の順にクリックします。これらの設定の詳細は、近接型カード認証に関する項を参照してください。
Kiosk Managerとの統合
同期資格証明のKiosk Managerへの格納および受渡しと近接型カード統合のサポート
近接型カード・オーセンティケータの2番目の要素に「User Defined PIN」が設定されていると、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明がオーセンティケータによって必要に応じて格納されます。この方法で格納する場合、ユーザーが近接型カードにタッチして正しいPINを入力し、Kiosk Managerセッションを開始した後、Logon Managerに資格証明がサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身の近接型カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。
ゲスト・ユーザー・アカウントの不十分な権限
ゲスト・ユーザー・アカウントには、Logon Managerの初回使用ウィザードの正常な完了に必要な操作を実行するための十分な権限がありません。ゲスト・アカウントをkioskアカウントとして使用しないことをお薦めします。
Active Directoryの技術的な注意事項
AD管理者は、ADコントローラのCN=Usersコンテナで次の手順を実行し、Creator Ownerユーザーに、読取り/書込みアクセス権を付与する必要があります。
手順が実行されていない場合、ユーザーは自身の近接型カード番号を変更するために十分な権限を持ちません。その結果、ユーザーがカード情報を更新するためにパスフレーズ・シナリオを入力すると(紛失したカードの例)、「Proximity card assigning failed.」というエラーが表示されます。
1. ADコントローラで、「Active Directory ユーザーとコンピュータ」のコンソールを開きます。
2. 「ユーザー」ADオブジェクト(CN=Users)を右クリックします。
3. ポップアップ・メニューの「プロパティ」をクリックします。
4. 「セキュリティ」タブをクリックします。
5. 「Add」ボタンをクリックします。
6. 「選択するオブジェクト名を入力してください」の下で、「CREATOR OWNER」と入力します。
7. 「名前の確認」ボタンをクリックし、エントリを解決します。
8. 「OK」をクリックします。
9. 「グループ名またはユーザー名:」の下の「CREATOR OWNER」を選択します。
10. 「詳細設定」ボタンをクリックします。
11. 「ユーザーのセキュリティの詳細設定」ウィンドウが表示されます。「親からの継承可能なアクセス許可をこのオブジェクトと…」チェックボックスが選択(TRUEに設定)されていることを確認します。
12. CREATOR OWNERユーザーをダブルクリックします。
13. 「適用先:」ドロップダウンに「子オブジェクトのみ」を設定します。
14. 「許可」の下の「すべてのプロパティの読み取り」および「すべてのプロパティの書き込み」のチェック・ボックスを選択(TRUEに設定)して設定します。
15. すべての変更を適用します。
近接型カード・オーセンティケータをActive Directoryで使用するには、ユーザー・オブジェクトの下の資格証明の格納を有効にする必要があります。
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. リポジトリに接続します。
3. 「Repository」メニューから、「Enable Storing Credentials under User Objects」(ADのみ)を選択します。
AD LDS (ADAM)の技術的な注意事項
AD LDS (ADAM)管理者は、AD LDS (ADAM)サーバーのOU=Peopleコンテナで次の手順を実行し、ユーザーに、読取り/書込みアクセス権を付与する必要があります。
1. AD LDS (ADAM)サーバーで、AD LDS (ADAM)ツール コマンド プロンプトを開きます。
2. 次のコマンドを実行し、ユーザーにPeopleコンテナおよびそのサブオブジェクトに対する読取り権限を付与します。
dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G <user/group/role DN>:GR
3. 次のコマンドを実行し、ユーザーにPeopleコンテナとそのサブオブジェクトに対する子の作成権限と自身に書き込み権限を付与します。
dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G <user/group/role DN>:CCWS
OmniKey近接型カード・リーダーの技術的な注意事項
OmniKeyファミリの近接カード・リーダーを使用している場合、OmniKeyのWebサイトからドライバをダウンロードすることをお薦めします。
「Proximity Card」オーセンティケータの設定
近接型カード・オーセンティケータの設定は、近接型カード認証の構成に使用します。また、Kiosk Managerを使用した構成と技術的な注意事項については、厳密なオーセンティケータの項の「近接型カード」を参照してください。
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Card family
AUI\ProxCardAuth:
ProximityCardFamily
|
近接型カードのファミリ・タイプを指定します。
|
・ 0-HID ISO / DUO PROX (デフォルト)
・ 1-iClass
・ 2-Indala / EM
|
Yes
|
dword/O
|
|
Reader type
AUI\ProxCardAuth:
ReaderName
|
使用する近接型カード・リーダーの名前を指定します。
|
・ OMNIKEY CardMan 5x25-CL 0-Omnikey CardMan 5125 (デフォルト)
・ OMNIKEY CardMan 5x21-CL 0-Omnikey CardMan 5121
・ OMNIKEY CardMan 5x21-CL 0-Omnikey CardMan 5321
・ No entry-RFIdeas (すべてのリーダー)
|
Yes
|
string/O
|
|
Second factor authentication
AUI\ProxCardAuth:
AuthenticationMethod
|
認証の2番目の要素として、Active Directoryパスワードまたはユーザー定義PINのどちらを使用するかを指定します。
|
・ 0-ADパスワード(デフォルト)
・ 1-ユーザー定義PIN
|
Yes
|
dword/O
|
PIN設定
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Minimum Length
AUI\ProxCardAuth:
MinPINLength
|
ユーザー定義PINの最小長を指定します。
|
デフォルトは4です。
|
Yes
|
dword/整数
|
|
Maximum length
AUI\ProxCardAuth:
MaxPINLength
|
ユーザー定義PINの最大長を指定します。
|
デフォルトは8です。
|
Yes
|
dword/整数
|
|
Maximum retries
AUI\ProxCardAuth:
RetryPINCount
|
認証が失敗するまでのPINの試行回数を指定します。
|
デフォルトは3です。
|
Yes
|
dword/整数
|
|
Alphanumeric constraints
AUI\ProxCardAuth:
AlphabeticRequirements
|
ユーザー定義PINの英数字要件を指定します。
|
・ 1-数字のみ
・ 2-文字のみ
・ 3-数字および文字(デフォルト)
|
Yes
|
dword/O
|
RSA SecurID
この項では、RSA SecurIDをKiosk Managerに統合するために必要な手順およびこのオーセンティケータのインストールと使用に関するその他の技術的な注意事項について説明します。
RSA SecurID方式のインストール
RSA SecurID認証方式をインストールする前に、RSAミドルウェアをインストールして構成する必要があります。RSA SecurIDオーセンティケータには、2つのミドルウェア・オプションがあります。
・ RSA Local Authentication Client (LAC) - RSA LACを使用する場合、Authentication ManagerインストーラでRSA SecurIDログオン方式をインストールする必要があります。
・ RSA Local Authentication Toolkit (LAT)- RSA LATを使用する場合、Authentication Managerインストーラで、RSA SecurIDログオン方式とLocal Authentication Toolkit(インストールされていない場合)をインストールする必要があります。RSA LATをインストールすると、サービスを開始するためにマシンを再起動するよう求められます。
RSA LATをインストールした後、LATのRSAドキュメントに従って次の2つの手順を実行する必要があります。
1. RSA Authentication Manager管理者からserver.cerファイルを入手し、メインのインストール・ディレクトリのサブディレクトリに配置する必要があります。例: C:\Program Files\RSA Security\RSA Authentication Agent\Agenthost Autoreg Utilityディレクトリ
2. Authentication Manager管理者からsdconf.rec ファイルを入手し、system32ディレクトリに配置する必要があります。
|
|
これらの注意事項は、RSA SecurID Local Authentication Toolkitのドキュメントおよび『RSA Authentication Agent 6.1 for Microsoft Windows Installation and Administration Guide』にも記載されています。
|
RSA SecurIDをインストールした後に、Oracle Enterprise Single Sign-On Administrative Consoleに必要な固有の設定はありません。
Kiosk Managerとの統合
RSA SecurIDオーセンティケータをKiosk Managerで使用する場合、セキュアなデータ記憶域をOracle Enterprise Single Sign-On Administrative Consoleで使用可能にし、構成する必要があります。
RSA SecurID オーセンティケータは同期ダイアログの事前移入で、リポジトリ・パスワードではなくユーザーのPINを使用します。セキュアなデータ記憶域は、PINを安全に保存するために使用され、サーバーでリポジトリの同期資格証明に関連付けされます。設定については、セキュアなデータ記憶域の項を参照してください。
同期資格証明のKiosk Managerへの格納および受渡しとRSA SecurID統合のサポート
Kiosk ManagerでRSA SecurIDオーセンティケータを使用する場合、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明が必要に応じてオーセンティケータに格納されます。この方法で格納する場合、ユーザーがRSA SecurIDトークンでKiosk Managerセッションを開始した後、Logon Managerに資格証明がサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身のPINとトークンコードを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。
Microsoft Visual C++ Technical Note
RSA SecurIDオーセンティケータには、Microsoft Visual C++ 2005再配布可能パッケージ(x86)が必要です。これはMicrosoftの次のWebサイトからダウンロード可能です。http://www.microsoft.com/Downloads/details.aspx?FamilyID=32bc1bee-a3f9-4c13-9c99-220b62a191ee&displaylang=en.
PINモードのサポートに関する技術的な注意事項
RSA Local Authentication ToolkitとVisual Studio 2005間の非互換性により、RSA SecurIDオーセンティケータは、SID700およびSID800の新しいPINモードをサポートしません。サポート・ケースはRSA(# C0842539)で開かれています。
セキュアなデータ記憶域
セキュアなデータ記憶域の設定では、データ記憶域の場所を制御します。セキュアなデータ記憶域は次の用途に使用されます。
・ Kiosk Manager環境でのRSA SecurIDオーセンティケータ
・ Kiosk Manager環境で2番目の要素の認証に「User Defined PIN」が設定されている場合の近接型カード・オーセンティケータ
・ Kiosk Manager環境での読取り専用スマート・カード・オーセンティケータ
|
|
セキュアなデータ記憶域は、Active Directory、Active Directoryのアプリケーション・モードおよびOracle Internet Directoryでサポートされています。
|
セキュアなデータ記憶域を使用するときは、ドメイン・ユーザー・アカウントを使用してWindowsにログオンする必要があります。
セキュアなデータ記憶域設定にアクセスするには、「Global Agent Settings」→「Live」→「Authentication」→「Secure Data Storage」の順にクリックします。これらの設定の詳細は、セキュアなデータ記憶域に関する項を参照してください。
セキュアなデータ記憶域の有効化
リポジトリにかかわらず、セキュアなデータ記憶域を有効化するには、次の手順を実行します。
1. 「Secure Data Storage」ペインで、「Enable Data Storage」に「Yes」を設定します。
2. データの格納先として使用する新規組織単位を作成します。
3. このオブジェクトの完全修飾された識別名を「Data storage location」設定の値に指定します。
4. 次の対応するリポジトリのための手順に進みます。
Active Directoryのための次の手順
5. この組織単位への「フル コントロール」権限を「すべてのユーザー」に付与します。
6. これを「このオブジェクトとすべての子オブジェクト」に適用します。
AD LDS (ADAM)のための次の手順
5. この組織単位とサブオブジェクトへの一般アクセス(GA)権限を「すべてのユーザー」に付与します。
dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G "Everyone":GA
Oracle Internet Directoryのための次の手順
5. セキュアなデータ記憶域のコンテナに対する匿名ユーザーアクセス権を付与します。
6. Directory Services Managerに管理者としてログオンします。
7. 「Data Browser」タブを選択します。
8. ツリーで、作成した「Secure Data Storage」コンテナにナビゲートして選択します。
9. 「Subtree Access」タブを選択します。
10. 「Structural Access Control」と「Content Access Control」の下に、新規アクセス・エントリを作成します。デフォルトの権限を受け入れ、「OK」をクリックします。
11. 変更を適用します。デフォルトの権限では、すべてのユーザーにバインド・モード「なし」が適切なアクセス権として付与されます。
「Secure Data Storage」の設定
次の設定は、セキュアなデータ記憶域を構成する場合に使用します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明テキスト
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Enable data storage
DataStorage:Passlogix
SecureDataStorage
|
ユーザー同期資格証明をリポジトリに安全に格納するかどうかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Data storage location
SecureDataStorage:
LocationDN
|
データが格納されるリポジトリの場所への完全修飾されたパスを入力します。
|
|
Yes
|
文字列/文字列
|
Kiosk Managerの統合の注意点
ドメイン・パスワードの変更
この問題は、近接型デバイス、スマート・カードおよび読取り専用スマート・カードでのみ発生します。
ユーザーのドメイン・パスワードが変更された場合、古いパスワードの有効期間内に次回ユーザーがそのデバイスを使用してキオスク上でセッションを開始しようとすると、ユーザーの同期リポジトリによっては、次の問題が発生します。
・ Active Directory: ネットワークに接続できないことを示すエラー・メッセージが表示されます。
・ AD LDS (ADAM): Kiosk Managerの応答が停止し、再起動を求められます。
この問題には2つの回避策があります。
1. ユーザーは、パスワードの存続期間内に、ユーザー名と新しいパスワードで認証してKiosk Managerセッションを手動で開始します。
2. 管理者は、この問題の発生を少なくするため、古いパスワードの存続期間を変更します。詳細は、Microsoftのヘルプおよびサポートを参照してください。
http://support.microsoft.com/kb/906305
ハードウェアの再割当て
スマート・カードのようなハードウェア・デバイスが別のユーザーに再割当てされると、Kiosk Managerを元のユーザーとしてログオンする場合があります。これは、Kiosk Managerがデバイスとユーザー名のマッピングを保持しているために発生します。
この問題の回避方法はありません。この問題を回避するため、これらのデバイスは再割当てしないでください。
SoftID ヘルパーの構成
SoftID HelperはSecurIDアプリケーションへのSSOサポートを追加する拡張ヘルパーです。この項では、SoftIDヘルパーをインストールおよび構成し、RSA SecurIDアプリケーションのテンプレートを使用可能にする方法について説明します。
前提条件
Logon Managerでは、SoftIDアプリケーションに対する次のソフトウェア・トークンとハードウェア・トークンの組合せをサポートしています。
・ RSA SecurIDソフトウェア・トークン
・ RSA Authentication ClientおよびRSA SecurID SID800 Hardware Authenticator
・ ソフトウェア・トークンとハードウェア・トークンの両方(両方がマシンにインストールされている場合)。Authentication Managerは、まずハードウェア・トークンを検索し、見つからなかった場合にソフトウェア・トークンをデフォルトにします。
SoftID Helperをインストールして使用する前に、前述の組合せのいずれかをインストールする必要があります。
Logon Managerのインストール
Logon ManagerはAuthentication Managerとインストールし、Authentication ManagerはSoftID Helperとインストールします。詳細は、Logon Managerのインストレーション・ガイドを参照してください。
RSA SecurIDアプリケーション・テンプレートの構成
ここでは、Login Testerというアプリケーション向けにRSA SecurIDアプリケーションを新規に設定する例をみてみましょう。
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. 定義するテンプレートの元になるアプリケーションを起動します。
3. 「Applications」を右クリックし、「New Windows Application」を選択します。「Add Application」ダイアログが表示されます。
4. アプリケーションの「Name」を入力し、「RSA SecurID」チェック・ボックスを選択します。「Finish」をクリックします。 「Form Wizard」が表示されます。
5. 「SecurID Login」ボタンを選択します。「Next」をクリックします。テンプレートを定義しているアプリケーションを実行している間は、ウィンドウ・タイトルが次のウィザード・パネルに表示されます。
6. アプリケーションのウィンドウ・タイトルを選択します。「Next」をクリックします。
7. このダイアログで、「SecurID Username」、「Passcode」、「OK」ボタンのフィールドおよび他の該当するフィールドのを構成します。クラスを右クリックし、、フィールドを選択します。資格証明のフィールドの構成の詳細は、「Help」ボタンをクリックします。完了したら、「Next」をクリックします。「Summary」パネルが表示されます。
8. サマリーを確認します。完了したら、「Finish」をクリックします。
9. Windowsのログイン・フォームが表示されます。他の該当する設定を変更し、「OK」をクリックします。
10. テンプレートをエージェントにエクスポートします。アプリケーションのエクスポートについては、Oracle Enterprise Single Sign-On Administrative Consoleのヘルプ・ファイルを参照してください。
11. エージェントが起動したら、ユーザーはFTUウィザードに進みます。プライマリ・ログオン方法に、Authentication Managerを選択する必要があります。
12. テンプレートを定義したアプリケーションが起動したら、アプリケーションに資格証明を追加する必要があるかどうかを尋ねられます。ユーザーが「Yes」を選択すると、このアプリケーションの「New Logon」にユーザーの資格証明を入力するように求められます。
13. ユーザーは「User ID」、「PIN」を入力し、「Software Token」を選択する必要があります。ユーザーのPINが、Authentication Managerで使用する前にRSAミドルウェアを介して設定されます。Authentication Managerは、使用可能なトークンのシリアル番号を検出すると自動的に「Software Token」フィールドを移入します。
14. 完了したら、「Finish」をクリックします。エージェントは、アプリケーションが起動されるたびにRSA SecurIDアプリケーション上のユーザーを記録します。
初回使用時のシナリオ
設定フェーズで、ユーザーは通常のLogon Managerの初回使用(FTU)ウィザードを「Select Primary Logon Method」ダイアログ・ボックスが表示されるまで進めます。
この設定ウィザードの動作は、Oracle Enterprise Single Sign-On Administrative Consoleで構成します。
設定フローの例
1. 「Setup Wizard」ダイアログ・ボックスの最初のダイアログ・ボックスに、Logon Managerのローカル・インストールに必要な設定タスクがリストされます。設定を開始するには、「Next」をクリックします。
2. ダイアログ・ボックスに、Logon Managerのローカル・インストールに必要な設定タスクがリストされるので、プライマリ・ログオン方法を選択し、その方法の資格証明を指定します。「Next」をクリックします。
3. 「Primary Logon」ダイアログ・ボックスで、ログオン方法の選択を求められます。目的のプライマリ・ログオン方法を選択します。ドロップダウン・ボックスには、現在インストールされている方法のみが表示されます。「Next」をクリックします。
4. 選択したプライマリ・ログオン方法を登録します。たとえば、スマート・カード・オーセンティケータがインストールされている場合は、次のダイアログが表示されます。「Cancel」をクリックすると、必要なオーセンティケータのSetup Wizardが取り消されます。
5. スマート・カードを挿入します。PINを入力するように求められます。「OK」をクリックします。成功したことを示すメッセージが表示されます。「OK」をクリックします。
6. パスフレーズ・オプションが使用可能な場合、最低8文字の応答を使用したパスフレーズの入力を要求される場合があります。応答を入力し、確認(再入力)して、「OK」をクリックします。
7. 「Setup Wizard」に、プロセスが完了し、Logon Managerが使用可能であることが示されます。「Finish」をクリックして完了します。
Provisioning Gateway Server Locations
このタブを使用して、Provisioning Gatewayサーバーの場所を指定します。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
PG Server locations
Extensions\ProvManager:PMLocationN
|
省略記号ボタン("…")をクリックし、Provisioning GatewayサーバーのURLを入力します。例: http://localhost/v-GO PM Service。
この設定にデフォルトはありません。
|
|
Yes
|
string/O
|
|
Request timeout
Extensions\ProvManager:Timeout
|
Provisioning Gatewayサーバーからの応答を待機する長さ(ミリ秒単位)を指定します
|
60000
|
Yes
|
dword/整数
|
「Delegated Credentials」の設定
これらの設定は、資格証明の委任にサーバーおよび暗号化を指定するために使用します。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
PM Locations
Extensions\ProvManager\Plugins\
Delegate\PMLocations:PMLocationN
|
省略記号(…)ボタンをクリックして、サービスをプロビジョニングするパスまたはパスのリストを入力します。1行に1つずつパスを入力します。例:
http://localhost/v-GO PM Service
|
|
Yes
|
文字列
|
|
Encryption algorithm
Extensions\EventManager:Retry
|
ドロップダウン・メニューからデフォルトの暗号化アルゴリズムを選択します。
|
|
バージョン11.1.2では、AES 256を除くすべてのアルゴリズムが非推奨になり、アップグレード用としてのみリストに表示されています。新しい構成には、他のアルゴリズムを選択しないでください。
この設定は必須ではありません。
|
|
AES 256(デフォルト)
Triple DES(非推奨)
|
Yes
|
dword
|
「Privileged Accounts」の設定
オプション
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Allow password reveal
Extensions\OpamManager:
RevealPasswordMode
|
チェックアウト済アカウントのマスクされたフィールドの表示をユーザーに許可するかどうかを指定します。
|
・ 0-表示を許可しない(デフォルト)
・ 1-アプリケーション・テンプレートの設定を使用。
|
Yes
|
dword/O
|
|
Validate account status before each use
Extensions\OpamManager:
MustBeOnline
|
アカウント・ステータス・チェックを実行するタイミングを指定します。
「Before every use」に設定すると、ユーザーがチェックアウト済アカウントを使用しようとするときにチェックが行われます(ログオンまたはパスワードの表示)。OPAMクライアントは、チェックを実行し、Provisioning Gatewayサーバーに到達可能であることと、そのアカウントがチェックイン済でないことを確認するようになります。
|
|
悪意のあるユーザーが、OPAMクライアントに、常に肯定的な応答を返すダミー・サーバーを指定することでこのチェックをバイパスできる可能性があります。ユーザーがマシンに対してローカル管理アクセス権を持つ場合、これに対してセキュリティ保護できない場合があります。この手法を使用すると、ユーザーは、Provisioning Gatewayサーバーから切断されているときでも、そのアカウントを使用できるようになります。また、そのユーザーは、管理者によってそのアカウントが強制的にチェックインされた後でもそれを使用し続けることができます。
|
|
・ 0-同期中のみ(デフォルト)
・ 1-使用前に毎回
|
Yes
|
dword/O
|
「Agent Synchronization」の設定
「Synchronization」設定は、すべてのシンクロナイザ拡張を対象とした資格証明同期に関する一般的なオプションです。これらの設定は、次の機能を制御する場合に使用します。
パフォーマンス・オプション
・ Synchronizer Order
・ Aggressive Synchronization
・ Optimized Synchronization
・ Interval for automatic resynchronization
・ Resynchronize when network or connection status changes
・ Wait for synchronization at startup
・ Roaming Profile Synchronization Support
ユーザー可動性オプション
・ Delete local cache
・ Deleted-credential cleanup
・ Disconnected operation
セキュリティおよび管理オプション
・ Enable role/group security support
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Synchronizer order
Extensions\SyncManager:
SyncOrder
|
使用する同期拡張の順序を指定します。値を指定しないと、すべての拡張が(予測不可能な順序で)使用されます。
読取りの場合、最初の使用可能なシンクロナイザが認証されると、その他のシンクロナイザへの問合せは実行されません。
書込みの場合、この設定に指定した順序ですべてのシンクロナイザが更新されます。
例:
LDAPExt,ADExt FileSync Remote,AD,FileSync Local,SmartCard MySmartCard,ADExt,ADExtRemote
|
|
Yes
|
文字列/シンクロナイザ
|
|
Use configuration objects
Extensions\SyncManager:
RetrieveCO
|
この設定が無効化されている場合、すべてのテンプレートおよびポリシーが、2つのオブジェクト(CN=vgoentlistとCN=vgoadminoverride)のうちの1つに統合されます。
この設定が有効化されている場合は、すべてのテンプレートおよびポリシーがディレクトリベースのシンクロナイザに適した独立オブジェクトです。このモードでは、さらにrole/groupセキュリティおよびディレクトリ階層のサポート機能が利用可能になります。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Allow disconnected operation
Extensions\SyncManager:
AllowDisconnected
|
エージェントがシンクロナイザ・リポジトリに接続できない場合に、オフライン・キャッシュが使用可能か、はじめて使用する場合の「Setup Wizard」が実行されるかを指定します。この設定が無効のとき、リポジトリが使用可能でない場合は、エージェントが停止されます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Delete local cache
Shell:CleanupOnShutdown
|
エージェントを停止したときに、ユーザーのデータ・ファイルおよびレジストリ・キーを削除するかどうかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Deleted credential cleanup
Shell:nDelDays
|
資格証明が削除された後に、資格証明の「削除」フラグが保持される時間(日)。複数のシステムにあるすべてのユーザーローカル・キャッシュから資格証明が削除されたことを確認するために使用されます。
|
(デフォルト-30)
|
Yes
|
dword/整数
|
|
Location of entlist.ini file
Extensions\AccessManager:
EntList
|
entlist.iniファイルの完全修飾されたパスおよびファイル名を入力します。スタンドアロン(シンクロナイザを使用しない)・モードにのみ該当します。
この設定は、シンクロナイザがインストールされていない場合に、Oracle Enterprise Single Sign-On Administrative Consoleテンプレートをワークステーションにローカルにデプロイするためにのみ使用します。
シンクロナイザがインストールされ、アプリケーション・テンプレートがActive Directoryなどのリポジトリを介してデプロイされている場合、この設定は使用しないでください。詳細は、アプリケーション・テンプレートの構成に関する説明を参照してください。
|
|
Yes
|
文字列/ファイル名
|
動作
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Wait for synchronization at startup
Extensions\SyncManager:
WaitForStartupSync
|
起動時に同期を待機するかどうかを指定します。待機した場合、ユーザーのデータが必ず最新の状態になり、Logon Managerがアプリケーションにログオンする前に、新しいテンプレートとポリシーが有効になります。
|
|
この設定を有効にすると、Logon Managerは同期が完了するまで応答しません。同期の回数は、ご使用の同期インフラストラクチャと、リポジトリ内のテンプレートおよびポリシーの数によって異なります。
|
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Interval for automatic resynchronization
Extensions\SyncManager:
CycleInterval
|
自動再同期の間隔(分)。この同期間隔は、手動によるユーザー生成の同期イベント(Logon Managerのリフレッシュなど)が発生しても、再設定されません。
0(ゼロ)の値は、この設定を無効にし、Logon Managerの起動やユーザー資格証明の更新のような通常の同期イベントの間のみ同期化が行われることを意味します。通常はProvisioning Gatewayが使用中の場合に設定し、更新がタイムリーな方法で配信されるようにします。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Optimize synchronization
Extensions\SyncManager:
OptimizedSync
|
この設定を有効化すると、同期化機能では、すべての資格証明を検索するのではなく、SyncStateというチェックサム・オブジェクトを使用して変更された資格証明を判断します。すべての資格証明が同期化されるのではなく、変更された資格証明が個別に同期化されます。テンプレートおよびポリシーは、常に同期イベントのたびにすべて同期化されます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Use aggressive synchronization
Extensions\SyncManager:
AggressiveSync
|
この設定を有効化すると、Logon Managerがログオン・イベントを検出するたびに、ターゲット・アプリケーションの資格証明が復号化され、アプリケーションに渡される前に同期化が発生します。
この機能によって、常に最新の資格証明および設定が使用されるようになります。この機能は通常は、ユーザーが同じアプリケーションに同時にアクセスするために、複数のシステムを使用している(Citrixファームを介するなど)特殊なケースでのみ使用されます。
|
|
この機能は、クライアントおよびサーバーの両方のコンピュータで、パフォーマンスに大きな影響を与えます。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Resynchronize when network or connection status changes
Shell:MonitorNetwork
|
ネットワーク接続ステータスの変更監視を有効/無効にします。この設定を有効にすると、エージェントはステータス変更が発生したとき(ネットワークへの再接続など)に再同期を実行します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
「Active Directory Synchronization」の設定
これらの設定を使用してMicrosoft Active Directory (AD)の同期化を構成します。
デフォルト値(該当する場合)は、太字で示されます。
シンクロナイザの場所
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
AD Sync DLL location
Extensions\SyncManager\
Syncs\%AD%:Path
|
Active Directoryシンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR%Plugin\ SyncMgr\ADEXT\ adsync.dll)
|
No
|
文字列/ファイル名
|
データ記憶域の構成
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Base location(s) for configuration objects
Extensions\SyncManager\
Syncs\%AD%\
COBaseLocations:
LocationN
|
構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。
OU=SSOConfig,DC=Domain,DC=com
指定された場所から検索が開始され、構成オブジェクトのすべての下位OU(ある場合)が検索されます。複数の場所を指定するには、各行に1エントリ指定します。
|
|
No
|
string/O
|
|
Location for storing user credentials
Extensions\SyncManager\
"Syncs\%AD%:LocateInUser
|
資格証明は、Active Directoryユーザー・オブジェクトの下位オブジェクトとして格納するか、またはOracleロケータ・オブジェクトとして指定することができます。
|
・ 0-ロケータ・オブジェクト(デフォルト)として指定
・ 1-各ディレクトリのユーザー・オブジェクトの下
|
Yes
|
dword/O
|
|
Prepend Domain when naming objects
Extensions\SyncManager\
Syncs\%AD%:AppendDomain
|
ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。
例: ドメインがcompany、ユーザーがjameskのとき、このフラグが無効の場合のコンテナ名はjamesk、このフラグが有効な場合のコンテナ名はcompany.jameskです。
|
|
この設定を有効にする場合、「User Object」(「Directory」メニュー)の下の「Enable storing credentials」設定は有効にしないでください。ユーザー・オブジェクトへの資格証明の格納を有効にする場合は、このオプションを無効にする必要があります(デフォルト)。両方のオプションを有効にすると、同期が行われなくなります。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
Base location(s) for UAM storage index
Extensions\SyncManager\Syncs\%AD%\
IndexBaseLocations:LocationN
|
Universal Authentication Managerのインデックス・コンテナの完全修飾された識別名です。
|
|
No
|
string/O
|
|
Use secure location for storing user settings
Extensions\SyncManager\Syncs\%AD%:
UseSecureLocationForUserRegistry
|
Active Directoryにユーザーのレジストリ設定を格納するときに、シンクロナイザを使用してセキュアな場所を使用する場合は、「Yes」を設定します。
Logon Managerクライアントのアップグレード期間に、Logon Manager 11.1.2より前のバージョンとの後方互換性を保つためにのみ「No」を設定します。
|
|
すべてのLogon Managerクライアントをバージョン11.1.2にアップグレードするまで、この設定は「Yes」にしないでください。
次の場合は、この設定を「Yes」に必要があります。
・ バージョン11.1.2がLogon Managerはじめてのインストールの場合。
・ すべてのLogon Managerクライアントをバージョン11.1.2にアップグレードした後、かつバージョン11.1.2より後にアップグレードする前
|
|
・ 0-No (デフォルト)
・ 1-Yes(推奨)
|
Yes
|
dword/O
|
接続情報
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Credentials to use
Extensions\
SyncManager\
Syncs\%AD%:
AuthType
|
Active Directoryサーバーに対する認証時に使用する資格証明を指定します。
|
・ 0-ローカル・コンピュータの資格証明のみを使用します。
・ 1-Active Directoryサーバー・アカウントのみを使用します(UserPathNの設定を推奨)。
・ 2-ローカル・コンピュータの資格証明を試行し、失敗した場合はActive Directoryサーバー・アカウントを使用します(デフォルト)。
・ 3-カードの資格証明を使用この設定は、リポジトリの認証に、ユーザー名とパスワードではなく、スマート・カードの証明書とそのPINを使用できるようにするために使用します。
・ 4-カードの資格証明を試行し、ログオンがキャンセルされた場合にActive Directoryサーバー・アカウントを使用します。
|
Yes
|
dword/O
|
|
Prompt when disconnected
Extensions\SyncManager\
Syncs\%AD%:
AllowOffline
|
同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Servers
Extensions\SyncManager\
Syncs\%AD%\Servers:
ServerN
|
computer[:port]形式で試行するサーバー(1行に1台のサーバー)。computerには、サーバー名を指定します。portを省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。
例:
・ DC1.company.com
・ DC2.company.com
・ company.com:8080
・ companylab.com
|
|
Active DirectoryにOracleデータを格納する場合、通常この設定は使用しません。
Active Directoryではコンピュータ名(IPアドレスではなく)を使用する必要があります。
|
|
|
No
|
string/O
|
|
User Paths
Extensions\
SyncManager\
Syncs\%AD%:UserPathN
|
ユーザー・アカウントの場所を示す完全修飾されたパスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。見つからない場合は、ディレクトリ・ツリーが検索されます。
|
|
この拡張では、このエントリは必須ではありません。
|
|
|
Yes
|
string/O
|
|
Use SSL
Extensions\
SyncManager\
Syncs\%AD%:UseSSL
|
SSLでの接続を指定します。
|
・ 0-No (セキュアではありません)(デフォルトのポート番号389)
・ 1-Yes (デフォルトのポート番号636)(デフォルト)
|
Yes
|
dword/O
|
|
Logon attempts
Extensions\SyncManager\
Syncs\%AD%:
RetryLockCount
|
同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、同期ダイアログは3回まで表示されます。
|
(デフォルト-3)
|
Yes
|
dword/整数
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Descriptive name
Extensions\SyncManager\
Syncs\%AD%:DisplayName
|
同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを入力します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window title
Extensions\SyncManager\
Syncs\%AD%:CAP_WindowTitle
|
この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window subtitle
Extensions\SyncManager\
Syncs\%AD%:
CAP_WindowSubTitle
|
この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with authenticators
Extensions\SyncManager\
Syncs\%AD%:
ShareCredsToAuths
|
この設定は、オーセンティケータとシンクロナイザの資格証明をリンクすることで二重認証をなくします。オーセンティケータとシンクロナイザで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(HKLM\Software\Passlogix\AUIの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
ファイル・モードの構成
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Limit search to server root
Extensions\SyncManager\
Syncs\%AD%:StopAtRoot
|
エージェントがロケータおよびオーバーライド・オブジェクトを検索する方法を指定します。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
「AD LDS (ADAM) Synchronization」の設定
これらの設定を使用してAD LDS (ADAM)の同期化を構成します。
デフォルト値(該当する場合)は、太字で示されます。
シンクロナイザの場所
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
ADAM Sync DLL location
Extensions\SyncManager\
Syncs\%ADAM%:Path
|
AD LDS (ADAM)シンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR%Plugin\ SyncMgr\ ADAMext\ ADAMsyncExt.dll)
|
No
|
文字列/ファイル名
|
データ記憶域の構成
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Base location(s) for configuration objects
Extensions\SyncManager\
Syncs\%ADAM%\
COBaseLocations:
LocationN
|
構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。
OU=SSOConfig,DC=Domain,DC=com
指定された場所から検索が開始され、構成オブジェクトのすべての下位OU(ある場合)が検索されます。複数の場所を指定するには、各行に1エントリ指定します。
|
|
No
|
string/O
|
|
Prepend Domain when naming objects
Extensions\SyncManager\
Syncs\%ADAM%:
AppendDomain
|
ユーザーのコンテナに名前を付ける際にユーザー名にユーザーのドメインを追加することを有効にします。
例: ドメインがcompany、ユーザーがjameskのとき、このフラグが無効の場合のコンテナ名はjamesk、このフラグが有効な場合のコンテナ名はcompany.jameskです。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
|
User Domain name to use
Extensions\SyncManager\
Syncs\%ADAM%:
UserDomain
|
「Prepend Domain」設定を有効にしたときに、コンテナ名で使用するドメイン名(DomainName.UserNameなど)を指定します。ユーザーは、ログオン・ダイアログで別のドメインを指定できます。
例: ユーザー・ドメインがMyDomain(「Prepend Domain」を有効化)で、ユーザーがjameskとしてログオンする場合、使用されるコンテナ名はMYDOMAIN.jameskです。ユーザーがHISDOMAIN\jameskとしてログオンする場合、使用されるコンテナ名はHISDOMAIN.jameskです。
|
|
Yes
|
文字列/文字列
|
|
Base location(s) for UAM storage index
Extensions\SyncManager\Syncs\%ADAM%\
IndexBaseLocations:LocationN
|
Universal Authentication Managerの索引データの格納場所を指定します。省略記号("…")ボタンをクリックして、パスを入力します。
|
|
Yes
|
string/O
|
接続情報
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Credentials to use
Extensions\SyncManager\
Syncs\%ADAM%:AuthType
|
AD LDS (ADAM)サーバーに対する認証時に使用する資格証明を指定します。
|
・ 0-ローカル・コンピュータの資格証明
・ AD/AD LDS (ADAM)サーバー・アカウント
・ 2-AD LDS (ADAM)サーバー・アカウントを使用する前に、ローカル・コンピュータの資格証明を試行します(デフォルト)。
・ 3-カードの資格証明を使用この設定は、リポジトリの認証に、ユーザー名とパスワードではなく、スマート・カードの証明書とそのPINを使用できるようにするために使用します。
・ 4-カードの資格証明を試行し、ログオンがキャンセルされた場合にAD LDS (ADAM)サーバー・アカウントを使用します。
|
Yes
|
dword/O
|
|
Prompt when disconnected
Extensions\SyncManager\
Syncs\%ADAM%:
AllowOffline
|
同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。
|
・ 0-Yes
・ 1-No (デフォルト)
|
Yes
|
dword/O
|
|
Servers
Extensions\SyncManager\
Syncs\%ADAM%\
Servers:ServerN
|
computer[:port]形式で試行するサーバーを指定します(1行に1台のサーバー)。computerには、サーバー名を指定します。portを省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。
例:
・ Adam1.company.com
・ Adam2.company.com
・ Adam3.company.com:50389
|
|
No
|
文字列/文字列
|
|
People Container
Extensions\SyncManager\
Syncs\%ADAM%:PeoplePath
|
Peopleコンテナの完全修飾された識別パスを指定します。パスを指定しない場合、Logon Managerは、AD LDS (ADAM)パーティションのルートでPeopleコンテナを検索します(デフォルト)。Logon ManagerインスタンスごとにPeopleコンテナは1つのみ構成できます。
構成されたパスに対して必要な権限をUsers/Groupsに付与することも必要です。
例: OU=People,OU=City,OU=State,OU=Country,OU=ssopartition,
DC=essoidcdev,DC=local
|
|
このエントリは必須ではありません。
|
|
なし
|
Yes
|
文字列/文字列
|
|
Use SSL
Extensions\SyncManager\
Syncs\%ADAM%:UseSSL
|
SSLでの接続を指定します。
|
・ 0-No (セキュアではありません)(デフォルトのポート番号389)
・ 1-Yes (デフォルトのポート番号636)(デフォルト)
|
Yes
|
dword/O
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Descriptive name
Extensions\SyncManager\
Syncs\%ADAM%:DisplayName
|
同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window title
Extensions\SyncManager\
Syncs\%ADAM%:
CAP_WindowTitle
|
この設定は、このシンクロナイザのAD LDS (ADAM)変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Password change window subtitle
Extensions\SyncManager\
Syncs\%ADAM%:
CAP_WindowSubTitle
|
この設定は、このシンクロナイザのAD LDS (ADAM)変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with authenticators
Extensions\SyncManager\
Syncs\%ADAM%:
ShareCredsToAuths
|
この設定は、オーセンティケータとシンクロナイザの資格証明をリンクすることで二重認証をなくします。オーセンティケータとシンクロナイザで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(HKLM\Software\Passlogix\AUIの下)にリストされている名前を参照してください。
|
|
|
Yes
|
文字列/文字列
|
「Database Synchronization」の設定
これらの設定を使用してデータベースの同期化を構成します。
|
|
データベース同期は、現在のユーザーに対するデータベースの信頼に依存しています。接続文字列に資格証明を含めないでください。
オラクル社では、接続文字列に資格証明が含まれているシナリオはサポートしていません。
|
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
DB Sync DLL location
Extensions\SyncManager\
Syncs\%DB%:Path
|
データベース・シンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR% Plugin\ SyncMgr\ DBEXT\ DBExt.dll)
|
No
|
文字列/文字列
|
|
Servers
Extensions\SyncManager\
Syncs\%DB%\Servers:
Server
|
同期を行うために接続するデータベース・サーバーおよび接続順序を指定します。チェックボックスを選択し、省略記号「…」ボタンをクリックして、「Edit List」ダイアログ・ボックスを開きます。各行に1台のデータベース・サーバーの完全接続アドレス(computerName.dbServerName)を入力します。[Enter]キーを押して各行を終了します。他のデリミタ文字を使用しないでください。
この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。
Oracleの場合
Oracle Databaseに接続するには、次の接続文字列を使用します。
Provider=OraOLEDB.Oracle;Data Source=%MachineName%;Extended Properties='OSAuthent=1'この場合、Data Sourceの値は構成ごとに異なります。
Oracle Databaseに接続するには、OracleクライアントをOracle Enterprise Single Sign-On Administrative Consoleと同じマシン上にインストールする必要があります。
SQLサーバーの場合
複数のインスタンスのホストであるSQLサーバーに接続するには、次の接続文字列を使用します(手動で改行を入力する必要はありません)。
Provider=SQLOLEDB; Data Source="ServerName\Instance"; Initial Catalog="DatabaseName" Trusted_Connection=Yes; Use Encryption for Data=True;
|
|
No
|
文字列/文字列
|
|
Append Domain when naming objects
Extensions\SyncManager\
Syncs\%DB%:AppendDomain
|
ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。
例: ドメインがcompany、ユーザーがjameskのとき、このフラグが無効の場合のコンテナ名はjamesk、このフラグが有効な場合のコンテナ名はjamesk.companyです。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
「File System Synchronization」の設定
これらの設定を使用してファイル・システムの同期化を構成します。
デフォルト値(該当する場合)は、太字で示されます。
シンクロナイザの場所
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
File Sync DLL location
Extensions\SyncManager\
Syncs\%File%:Path
|
ファイル・システム・シンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR% Plugin\ SyncMgr\ FileSyncExt\ filesync.dll)
|
No
|
文字列/ファイル名
|
データ記憶域の構成
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Prepend Domain when naming user folders
Extensions\SyncManager\
Syncs\%File%:
AppendDomain
|
ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。
例: ドメインがcompany、ユーザーがjameskのとき、このフラグが無効の場合のコンテナ名はjamesk、このフラグが有効な場合のコンテナ名はcompany.jameskです。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
接続情報
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Prompt when disconnected
Extensions\SyncManager\
Syncs\%File%:
AllowOffline
|
同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。
|
・ 0-Yes
・ 1-No (デフォルト)
|
Yes
|
dword/O
|
|
Server
Extensions\ SyncManager\
Syncs\%File%\Servers:
Server1
|
同期化のために試行するUNCパスのリストを入力します。この拡張が機能するには、Server1を指定する必要があります。
例
\\FS1\Users
\FS2\Extras
D:\Backup
ファイル・システム拡張では、適切なUNCパスを使用する必要があります。1つのパスのみをサポートしています。フェイルオーバーはサポートされません。
|
|
No
|
文字列/文字列
|
|
Logon attempts
Extensions\SyncManager\
Syncs\%File%:
RetryLockCount
|
同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、同期ダイアログは3回まで表示されます。
|
・ 最小値は1
・ (デフォルト-3)
|
Yes
|
dword/整数
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Descriptive name
Extensions\SyncManager\
Syncs\%File%:
DisplayName
|
同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
「LDAP Synchronization」の設定
「LDAP/IBM Synchronization」設定は、すべてのLDAPシンクロナイザ拡張に対して設定する必要があります。
特定のユーザー・アカウントを検索する前後に、ディレクトリにバインドできます。バインドの前にユーザー・アカウントを検索すると、Logon Managerは指定したユーザー・パスから検索を開始し、ユーザー・アカウントが見つかるまでディレクトリ・ツリーの下方に検索を続け、そのディレクトリにバインドします。または、すべてのパスを検索します。Logon Managerが、指定したユーザー・アカウントを見つけられない場合、システムの構成が正しくないので管理者に連絡するようにというメッセージが表示されます。
通常、Logon ManagerはLDAPディレクトリに対して匿名バインディングを使用しますが、匿名バインディングが無効な場合にユーザーを検索するために、参照専用アカウントを作成することもできます。そのような場合、アカウント名はユーザーの名前でないため、すぐに特定できません(たとえば、従業員IDや社会保障番号などの場合があります)。代替ユーザーIDオプションが有効になっている場合、参照専用アカウントによってユーザー検索が容易になります。このオプションでは代替ユーザーIDに属しているユーザーを特定します。参照専用アカウントを構成するには、「Alternate User ID location」、「BIND User Name」および「BIND User Password」の設定を使用します。
デフォルト値(該当する場合)は、太字で示されます。
シンクロナイザの場所
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
LDAP Sync DLL location
Extensions\SyncManager\
Syncs\%LDAP%:Path
|
LDAPディレクトリ・サーバー・シンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR%Plugin\ SyncMgr\ LDAP\ ldapsync.dll)
|
No
|
文字列/ファイル名
|
Data storage location
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Base location(s) for configuration objects
Extensions\SyncManager\
Syncs\%LDAP%\
COBaseLocations:
LocationN
|
構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。
OU=SSOConfig,DC=Domain,DC=com
指定された場所から検索が開始され、構成オブジェクトのすべての下位OU(ある場合)が検索されます。複数の場所を指定するには、各行に1エントリ指定します。
|
|
No
|
string/O
|
接続情報
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Prompt when disconnected
Extensions\SyncManager\
Syncs\%LDAP%:
AllowOffline
|
同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。
|
・ 0-Yes
・ 1-No (デフォルト)
|
Yes
|
dword/O
|
|
Directory type
Extensions\SyncManager\
Syncs\%LDAP%:
DirectoryType
|
特定のタイプのディレクトリ・サーバー。ディレクトリ・サーバーが示されていない場合は、アップグレード時に後方互換性用の「Unspecified LDAP Directory」(デフォルト)を選択します。それ以外の場合は、「Generic LDAP Directory」を選択します。
|
・ 0-未指定のLDAPディレクトリ(デフォルト)
・ 3-Novell eDirectory
・ 5-汎用LDAPディレクトリ
・ 8-Oracle Directory Server Enterprise Edition
・ 9-IBM Tivoli Directory Server
・ 10-Oracle Internet Directory
・ 11-Siemens DirX Directory Server
|
Yes
|
dword/O
|
|
Servers
Extensions\SyncManager\
Syncs\%LDAP%\Servers:
ServerN
|
computer[:port]形式で試行するサーバー(1行に1台のサーバー)。computerには、サーバー名を指定します。portを省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。
例:
LDAP1.company.com
LDAP2.company.com
LDAP3.company.com:50389
|
|
No
|
string/O
|
|
User paths
Extensions\SyncManager\
Syncs\%LDAP%:UserPathN
|
LDAPディレクトリ検索が有効でない場合の、ユーザー・アカウントの場所を示す完全修飾された(識別)パスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。LDAPディレクトリ検索を使用するときに、指定したUserPathでユーザー・アカウントが見つからない場合は、そのパスから下方向にディレクトリ・ツリーが検索されます。
例:
OU=Users,DC=Domain,DC=com
|
|
この拡張が機能するには、「UserPath」に少なくとも1つの値を指定する必要があります。
|
|
|
Yes
|
string/O
|
|
Use SSL
Extensions\SyncManager\
Syncs\%LDAP%:UseSSL
|
SSLでの接続を指定します。
|
・ 0-No (セキュアではありません)(デフォルトのポート番号389)
・ 1-Yes (デフォルトのポート番号636)(デフォルト)
|
Yes
|
dword/O
|
管理セキュリティ
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Administrative group DN
Extensions\SyncManager\
Syncs\%LDAP%:AdminGroup
|
管理グループの識別名を入力します。この値はACI内にあります。
例:
cn=configuration administrators, ou=groups, ou=topologymanagement, o=netscaperoot
|
|
Yes
|
文字列/文字列
|
|
Security version
Extensions\SyncManager\
Syncs\%LDAP%:
SecurityVersion
|
この値が:SecurityUpgradeより大きい場合は、新しい:AdminGroup値でACIを更新します。
この設定は「Administrative Group DN」設定とともに使用し、デプロイ済の環境用のLDAPユーザー資格証明を格納するためにLogon Managerが使用するPeopleコンテナのセキュリティ権限を更新します。
これを行う手順は次のとおりです。
1. 新しいセキュリティに使用する、新しい「Administrative Group DN」を指定します。これは、セキュリティ・グループの識別名です。
2. 「Security Version」を現在の値より1つ高い値に設定します。
3. 設定をデプロイします。
次回Logon Managerが同期を実行するとき、セキュリティが新しいAdmin Group DNに更新され、現在の内部のSecurity Versionが設定された値に設定されます。これにより、セキュリティの更新が一度だけ強制的に実行されます。
|
|
この設定は、セキュリティ変更時の通常のアップグレード・パスとして使用されるという意味ではありません。様々なサーバー用のメカニズムのかわりに使用することをお薦めします。
|
|
|
Yes
|
dword/整数
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Descriptive name
Extensions\SyncManager\
Syncs\%LDAP%:
DisplayName
|
同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。
|
|
このエントリは必須ではありません。
|
|
|
Yes
|
文字列/文字列
|
|
Show user path
Extensions\SyncManager\
Syncs\%LDAP%:
ShowUserPath
|
この設定を使用して、LDAPシンクロナイザの認証ダイアログ・ボックスの「User Path」コンボ・ボックスの表示/非表示を切り替えます。
この設定は、Logon Managerバージョン11.1.1.1.0から含まれています。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Logon attempts
Extensions\SyncManager\
Syncs\%LDAP%:
RetryLockCount
|
同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、同期ダイアログは3回まで表示されます。
|
・ 最小値は1
・ (デフォルト-3)
|
Yes
|
dword/整数
|
資格証明の共有
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Share credentials with authenticators
Extensions\SyncManager\
Syncs\%LDAP%:
ShareCredsToAuths
|
この設定は、オーセンティケータとシンクロナイザの資格証明をリンクすることで二重認証をなくします。オーセンティケータとシンクロナイザで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。
資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。
|
|
他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(HKLM\Software\Passlogix\AUIの下)にリストされている名前を参照してください。
|
|
|
Yes
|
string/O
|
「LDAP Special Purpose Synchronization」の設定
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Naming attribute string
Extensions\
SyncManager\
Syncs\%LDAP%:
UserPrepend
|
「User Paths」の前に付加する文字列。ユーザーのドメイン名が次の形式である場合は必須です。
cn=%UserName%,ou=people,dc=computer;
次の書式の場合は、必須ではありません。
namingattribute=%UserName%,ou=people,dc=computer
(namingattributeは任意の文字列) 必要に応じて、cnに設定します。
|
|
Novell eDirectoryの場合は、この値を通常cnに設定する必要があります。
UserPrependを使用する場合は、UserPathNを使用し、UserLocationは使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
|
BIND timeout
Extensions\
SyncManager\
Syncs\%LDAP%:Timeout
|
LDAP BINDコールのタイムアウトの長さ(ミリ秒)を入力します。
|
(デフォルトはオペレーティング・システムによって異なります)
|
Yes
|
dword/整数
|
|
BIND user DN
Extensions\
SyncManager\
Syncs\%LDAP%:
BindUserName
|
LDAP参照専用アカウントのユーザーDNを指定します。これは、次の形式にする必要があります。
uid=%username%, ou=people, dc=%CompanyName%
(例: uid=jsmith, ou=people, dc=passlogix, dc=com)
LDAPディレクトリ検索機能には、ディレクトリで匿名バインディングを有効にする必要があります。匿名バインディングが有効でない場合は、このアカウントを使用してディレクトリ検索を実行する必要があります。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。
|
|
Yes
|
文字列/文字列
|
|
BIND user password
Extensions\
SyncManager\
Syncs\%LDAP%:
BindUserPassword
|
LDAP参照専用アカウントのユーザー・パスワードを指定します。
LDAPディレクトリ検索機能には、ディレクトリで匿名バインディングを有効にする必要があります。匿名バインディングが有効でない場合は、このアカウントを使用してディレクトリ検索を実行する必要があります。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。
|
|
Yes
|
string.MaskedString
|
|
Alternate user ID location
Extensions\
SyncManager\
Syncs\%LDAP%:
UserLocation
|
ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。
例: ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトが次にあるとします。
・ ou=people,dc=computer,
UserLocationを次のように設定します。
・ empid=%user,ou=people,dc=computer
次のようには設定しないでください。
・ uid=user,ou=people,dc=computer
|
|
Novell eDirectoryの場合、「Alternate User ID location」は、次のように設定します。
uid=%user,path to the object%
UserLocationを使用する場合は、UserPrependおよびUserPathsを使用しないでください。
|
|
|
Yes
|
文字列/文字列
|
|
Enable directory search for users
Extensions\
SyncManager\
Syncs\%LDAP%:
LDAPBindSearch
|
ユーザー・アカウントのディレクトリ検索を有効または無効にします。指定されたパスにユーザー・アカウントが見つからない場合は、その場所から下方向にディレクトリ・ツリーが検索されます。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。
この設定を有効化し、LDAPディレクトリ内で前回の同期化とは異なるOUにユーザーを移動した場合、そのユーザーには次回のログオンで資格証明を求めるプロンプトが表示されます。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
ローミング・プロファイル同期の拡張
|
|
ローミング・プロファイルはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのシンクロナイザを使用しないでください。
|
Oracle Enterprise Single Sign-On Administrative Consoleでは、ローミング・プロファイル・シンクロナイザを使用して、ローミング・プロファイルによるファイル・システムの同期化をサポートします。ローミング・プロファイル・シンクロナイザは、次の条件を満たすデプロイメントで使用できます:
・ ユーザーが、サーバーでローミング・プロファイルを使用するように設定されている。
・ 「Delete local cache」設定がまだ同期可能になっていない。
・ v1認証を使用している。
前述の条件が存在する場合は、次のようにローミング・プロファイル環境を設定します。
1. Logon Managerが、インストールされている同期拡張の1つがローミング同期拡張であるマルチ同期環境で稼働するように設定します。マルチ同期環境とは、2つ以上の同期拡張がインストールされている同期環境のことです。たとえば、AD同期拡張を使用する場合は、AD同期拡張およびローミング・プロファイル拡張をインストールする必要があります。
2. ローミング・プロファイル・シンクロナイザ拡張は、同期構成順序で先頭に位置するシンクロナイザである必要があります。この順序を設定するには、「Global Agent Settings」→「Live」を順に展開し、「Synchronization」をクリックします。「Synchronizer order」フィールドで、省略記号(…)ボタンをクリックします。シンクロナイザ・パネルで、「Roam」が1番目で、使用中の他の同期タイプ(Active Directoryなど)が2番目であることを確認します。
3. ローミング・プロファイルを使用する場合、他のシンクロナイザ設定を変更する必要はありません。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Roaming Sync DLL location
Extensions\SyncManager\
Syncs\%ROAM%:Path
|
ローミング・シンクロナイザ拡張のパス\ファイル名を入力します。
|
(デフォルト-%INSTALLDIR% Plugin\ SyncMgr\ RoamExt\ RoamSyncExt.dll)
|
No
|
文字列/ファイル名
|
セキュリティの設定
セキュリティの設定では、エンド・ユーザーによるプライマリ・ログオン・パスワードの再入力を必要とする頻度、エンド・ユーザーがアプリケーション・ログオン・パスワードを参照するためのアクセス、優先する暗号化プロバイダおよび暗号化の強度を制御します。
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明
|
オプション/デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Store user data on disk in encrypted file
Extensions\StorageManager\
InMemShr:LocalStorage
|
ユーザー・データ(資格証明など)のコピーを各ユーザーのApplicationDataフォルダの暗号化されたデータベース・ファイルにローカルに保存する場合に指定します。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Default encryption algorithm
CSP:PreferredCSP
|
ドロップダウン・メニューからデフォルトの暗号化アルゴリズムを選択します。
|
|
MS CAPI以外のアルゴリズムは非推奨で、アップグレード・シナリオ用としてのみリストされています。これらのアルゴリズムは選択しないでください。
|
|
・ 0-Cobra 128ビット(非推奨)
・ 512-Cobra 128ビット(同様) (非推奨)
・ 513-Blowfish 448ビット(非推奨)
・ 1028-Triple-DES 168ビット(非推奨)
・ 1285-AES 256ビット(非推奨)
・ 25700-Triple-DES (MS CAPI) (すべてのOS) (非推奨)
・ 25723-Triple-DES (MS CAPI) (XP/2003のみ) (非推奨)
・ 25956-RC-4 (MS CAPI) (すべてのOS) (非推奨)
・ 25979-RC-4 (MS CAPI) (XP/2003のみ) (非推奨)
・ 26491-AES (MS CAPI) (すべてのOS) (デフォルト)
|
Yes
|
dword/O
|
|
Reauthentication timer
Extensions\AccessManager:
AutoLogin
|
次の再認証リクエストまでの時間(ミリ秒)。4,294,967,295 (0xFFFFFFFF)に設定した場合は、期限切れになることはなく、強制認証の場合を除いて、ユーザーは再認証を受ける必要がありません。
|
・ (クライアント側のインストールのデフォルト-900000)
・ (Terminal Services環境のデフォルト-4,294,967,295 (無効))
|
Yes
|
dword/整数
|
|
Require reauthentication before updating account credentials
Extensions\AccessManager:
RequireAuthCred
|
認証タイマーが期限切れでない場合でも、アプリケーション資格証明を変更する前にユーザーがLogon Manager資格証明を入力する必要があるかどうかを指定します。
この設定は、Logon Managerバージョン 11.1.1.1.0から含まれています。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword/O
|
マスクされたフィールド
|
表示名/
レジストリ・パス
|
説明
|
オプション/デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Obfuscate length
Extensions\AccessManager:
HideMaskedFieldLength
|
暗号化されたフィールドを、不明瞭化されたデータの長さとは異なる空白文字で表示するかどうかを指定します。
この設定は、Logon Managerバージョン 11.1.1.1.0から含まれています。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Allow revealing
Extensions\AccessManager:
AllowReveal
|
マスクされたフィールドの表示をユーザーが許可されるかどうかを指定します。
この設定は、Logon Managerバージョン 11.1.1.1.0から含まれています。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
|
Require reauthentication to reveal
Extensions\AccessManager:
ReauthOnReveal
|
ユーザーが、マスクされたフィールドを表示するためにLogon Manager資格証明を入力する必要があるかどうかを指定します(「Allowed revealing」を「Yes」に設定した場合)。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword/O
|
カスタム・アクション
「Custom Actions」設定では、特定のエージェント・アクションが発生したときに実行するタスク(コマンドのリスト)を制御します。
各イベントについて、チェック・ボックスを選択し、「…」をクリックしてイベントのリストのダイアログ・ボックスを開きます。各行にコマンドを1つ入力します。[Enter]キーを押して各行を終了します。他のデリミタ文字を使用しないでください。1つずつ順に実行されます。
タスクがすべて完了するまで、Logon Managerは応答しません。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
After Agent starts
Shell\Tasks:StartupTaskN
|
バックグラウンド・タスクが開始されるたびに実行するコマンド(トレイ・アイコンが表示されます)。
|
|
Yes
|
string/O
|
|
Before each instance of the Agent executable starts
Shell\Tasks:PreTaskN
|
各エージェントの実行可能ファイルが起動する前に実行するコマンド。
|
|
このオプションは、あらゆるエージェントが実行される前にライセンスの確認を行えるようにします。
これらのタスクのうち、次の場所にあるレジストリ値の設定が誤っている場合、エージェントは停止します。
HKEY_CURRENT_USER\Software\Passlogix\ License\PreCheck:PreCheckが1になっている。
各タスクを開始するときに、この値を0に設定し直す必要があります。
|
|
|
これらのタスクは毎回新しいエージェント・プロセスを起動するため、この方法はエージェントのパフォーマンスに影響があります。
|
|
|
Yes
|
string/O
|
|
When logons are deleted
Shell\Tasks:DeletionTaskN
|
ユーザーがアプリケーション構成を削除するたびに実行されるコマンド。
|
|
Yes
|
string/O
|
|
When logons change (add, delete, copy, modify)
Shell\Tasks:RefreshTaskN
|
ユーザーが資格証明および構成を変更するたびに実行されるコマンド。
|
|
Yes
|
string/O
|
監査ロギング
「Audit Logging」設定では、ロギング・キャッシュの再試行間隔およびサイズを指定します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Cache Limit
Extensions\EventManager:CacheLimit
|
古いイベントが廃棄されるまでにキャッシュされるイベント・ログ・エントリの最大数。
|
(デフォルト-200)
|
Yes
|
dword/整数
|
|
Retry Interval
Extensions\EventManager:Retry
|
すべてのイベント・ロギング拡張の再試行間隔(分)。
|
|
Reportingを使用する場合、この値を(0)に設定する必要があります。
|
|
(デフォルト-30)
|
Yes
|
dword/整数
|
Windowsイベント・ロギング・サーバーの構成
Microsoft Windows XPまたはMicrosoft Windows 7サーバーでイベント・ログ・メッセージを受信するように構成するには、次の手順を実行します。
・ そのサーバーにエージェントをインストールします。
または
1. SSOeventmessage.dllをエージェント・インストールからサーバー(System32ディレクトリを推奨)にコピーします。
2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Eventlog\Application\v-GO SSOに、次のレジストリ・キーを作成します。
|
名前
|
EventMessageFile
|
|
Type
|
STRING
|
|
Value
|
ファイル名を含むSSOeventmessage.dllへのフルパス(推奨値は %WinDir%\System32\SSOeventmessage.dllです。)
|
|
Name
|
TypesSupported
|
|
Type
|
DWORD
|
|
Value
|
7
|
|
Name
|
CategoryMessageFile
|
|
Type
|
STRING
|
|
Value
|
ファイル名を含むSSOeventmessage.dllへのフルパス(推奨値は %WinDir%\System32\SSOeventmessage.dllです。)
|
|
Name
|
CategoryCount
|
|
Type
|
DWORD
|
|
Value
|
4
|
レポーティング・サーバー
Reportingツールを使用すると、ユーザー・アクティビティに関するレポートを生成できます。このツールの使用の詳細は、Logon ManagerのReportingのドキュメントを参照してください。
デフォルト値(該当する場合)は、太字で示されます。
データベース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Connection String
Reporting\Extensions\Database:
ConnectionString
|
Database connection string: OLE DB形式で入力します。
Provider=SQLOLEDB;Data Source=myServerName; Initial Catalog=myDatabaseName;Integrated Security=SSPI;Use Encryption for Data=True; Use Encryption for Data=True
|
|
No
|
文字列/文字列
|
|
Stored Procedure
Reporting\Extensions\Database:
StoredProcedure
|
イベントが発生したデータベースの移入に使用するストアド・プロシージャ名前。エンコード済イベントがデータベースに送信されると、XMLファイルをデコードするためにストアド・プロシージャがコールされ、イベントがデータベースに格納されます。
|
(デフォルト-dbo.sp_WriteEvents)
|
No
|
文字列/文字列
|
オプション
|
|
レポーティングが正しく機能するために、次のパラメータ値がゼロ(0)に設定されていることが重要です。
o HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\Extensions\EventManager\ CacheLimit:DWORD = 0
および
o HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\Extensions\EventManager\Retry:DWORD = 0
|
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Batch Size
Reporting:BatchSize
|
データベースのストアド・プロシージャに一度のバッチ処理で送信されるイベントのグループ・サイズを定義します。
たとえば、Reporting Serviceのキャッシュに1000個のイベントがあり、バッチ・サイズが100の場合、データベースのストアド・プロシージャを10回コールすることになります。
|
(デフォルト-100)
|
Yes
|
dword/整数
|
|
Cache Limit
Reporting:CacheLimit
|
古いイベントの破棄前にキャッシュされるレポーティング・イベントの最大数。この数に達した場合、最も古いイベントが破棄されます。
たとえば、バッチ・サイズが100で、エンド・ユーザーのシステムがReporting Serviceに接続できない場合、イベントは記録され続けます。1000に達した場合は、最も古いイベントが破棄されます。(デフォルトは、4294967295または0xFFFFFFFFです。)
|
(デフォルト-4294967295または0xFFFFFFFF)
|
Yes
|
dword/整数
|
|
Retry Interval
Reporting:RetryInterval
|
イベントをデータベースにオフロードするReporting Serviceのキャッシュの順次処理間のタイムアウトを分単位で指定します。間隔はデータベースの接続負荷を減らすために必要です。
|
|
変更を有効にするには、ESSO Reporting Serviceを再起動する必要があります。
|
|
(デフォルト-30)
|
Yes
|
dword/整数
|
Windowsイベント・ビューア
「Windows Event Viewer」設定では、イベント・ロギングをリモート・サーバーで有効にするよう設定できます。ログに記録するイベントを指定します。また、Windowsイベント・ロギング拡張およびWindowsイベント・メッセージ・コンポーネントへのデフォルト・パスを変更し、ロギング・キャッシュの再試行間隔を変更できます。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Windows Event Logging Server
Extensions\EventManager\
WindowsEvent:EventServer
|
Windowsイベント・ロギング拡張のサーバー名を指定します(先頭に\\文字を指定しないでください)。サーバーを指定しない場合、ロギングはローカル・コンピュータで実行されます。
サーバーは、アクセス権および制限に応じて、ユーザーのアカウントおよびユーザーのワークステーションとの信頼関係を持つ必要があります。
|
|
Yes
|
文字列/文字列
|
|
Retry Interval
Extensions\EventManager\
WindowsEvent:Retry
|
Windowsイベントのロギング拡張に対する再試行間隔(分)を指定します。
|
(デフォルト-30)
|
Yes
|
dword/整数
|
|
Events to log
Extensions\EventManager\
WindowsEvent:Filter
|
(rootフィルタ設定によって記録されたイベントのうち) Windowsイベント・ロギング拡張に記録するイベントを区切るイベント・ロギング・フィルタ。
省略記号「…」ボタンをクリックして、選択するイベントのチェックリストを示す「Events to log」ウィンドウを開きます。
|
・ (デフォルト-0)
・ 4-Credential Edit
・ 8-Credential Delete
・ 10-Credential Copy
・ 20-Credential Add
・ 100-Provisioning
・ 200-Startup/Shutdown
・ 400-Help
・ 800-Settings Change
・ 1000-Reauthentication
・ 10000-Sync User Information
・ 20000-Logon Field: System Username
・ 40000-Logon Field: System Domain
・ 80000-Logon Field: Third Field
・ 100000-Logon Field: Username
・ 200000-Logon Field: Fourth Field
・ 800000-Application Password Change
・ 1000000-Primary Logon Method Change
・ 4000000-Backup/Restore
・ 40000000-Event Types: Info
|
Yes
|
dword/O
|
「Event Logging」: 「Filter」オプション
ログに記録するイベントを選択して、「OK」をクリックします。次の表では、フィルタを機能ごとに分類しています。
デフォルト値(該当する場合)は、太字で示されます。
|
|
イベント・ロギングを有効にするには、「Event Types Info」を選択する必要があります。
|
|
タイプ
|
名前
|
|
ユーザー・データへの変更(資格証明)
|
資格証明追加
|
|
資格証明コピー
|
|
資格証明削除
|
|
資格証明編集
|
|
使用されたエージェント制御(機能)
|
ヘルプ
|
|
再認証
|
|
設定変更
|
|
起動/停止
|
|
入力された資格証明データ(ログオン)
|
ログオン・フィールド: 4番目のフィールド
|
|
ログオン・フィールド: システム・ドメイン
|
|
ログオン・フィールド: システム・ユーザー名
|
|
ログオン・フィールド: 3番目のフィールド
|
|
ログオン・フィールド: ユーザー名
|
|
同期ユーザー情報
|
|
エージェントのアクションと変更(アプリケーション)
|
プライマリ・ログオン方法変更
|
|
バックアップ/リストア
|
|
アプリケーション・パスワード変更
|
|
イベント・タイプ
|
イベント・タイプ情報(イベント・ロギングを有効にするには、選択する必要があります)
|
このダイアログ・ボックスを表示するには、「Filter」オプションを選択して、次のいずれかの設定パネルで省略記号「...」ボタンをクリックします。
・ Event Logging (全般)
・ XML File(ローカル・ストレージ用)
・ Windows Event logging (拡張)
Syslogサーバー
「Syslog」設定では、エージェントがプログラム・イベントを記録する方法を制御します。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Destination host
Extensions\EventManager\
Syslog:RemoteAddress
|
ホスト名またはドット付きのメッセージのIP v4アドレスのいずれかを使用して、送信先のホスト名を指定します。
0.0.0.0を使用すると、Syslogデーモンへの送信が無効になります。255.255.255.255を使用すると、ブロードキャスト・メッセージを受信するように設定されているすべてのデーモンに送信されます。ブロードキャストはルーターを越えることはできないため、送信先はローカル・ネットワーク上である必要があります。
|
(デフォルト-localhost)
|
No
|
文字列/文字列
|
|
Destination port
Extensions\EventManager\
Syslog:RemotePort
|
syslogメッセージの接続先ポートを番号で指定します。
|
(デフォルト-1468)
|
Yes
|
dword/整数
|
|
Protocol for sending messages
Extensions\EventManager\
Syslog:UseTCP
|
メッセージの送信に使用するプロトコルをTCPまたはUDPから指定します。
UDPプロトコルはコネクションレスのため、指定されたホスト名およびポートでsyslogデーモンが接続できるかどうかを判断することはできないことに注意してください。
UseTCPパラメータを「Use UDP」に設定すると、Syslog拡張は成功および失敗のどちらの場合でもS_OKを返します。Syslog拡張が正しい状態を返すようにする必要がある場合は、SyslogデーモンでTCPを有効にして、このパラメータを「Use TCP」に設定します。
|
・ 0-Use UDP
・ 1-Use TCP (デフォルト)
|
Yes
|
dword/O
|
|
Retry Interval
Extensions\EventManager\
Syslog:Retry
|
Syslog拡張に対する再試行間隔(分)を指定します。
|
(デフォルト-30)
|
Yes
|
dword/整数
|
|
Events to log
Extensions\EventManager\
Syslog:Filter
|
(rootフィルタ設定によって記録されたイベントのうち) Syslog拡張に記録するイベントを区切るイベント・ロギング・フィルタ。省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。
|
・ (デフォルト-0)
・ 4-Credential Edit
・ 8-Credential Delete
・ 10-Credential Copy
・ 20-Credential Add
・ 100-Provisioning
・ 200-Startup/Shutdown
・ 400-Help
・ 800-Settings Change
・ 1000-Reauthentication
・ 10000-Sync User Information
・ 20000-Logon Field: System Username
・ 40000-Logon Field: System Domain
・ 80000-Logon Field: Third Field
・ 100000-Logon Field: Username
・ 200000-Logon Field: Fourth Field
・ 800000-Application Password Change
・ 1000000-Primary Logon Method Change
・ 4000000-Backup/Restore
・ 40000000-Event Types: Info
|
Yes
|
dword/O
|
XMLファイル・イベント・ロギング
「XML File Event Logging」設定では、ローカルにログを記録するイベントを指定できます。また、ローカル・ロギング拡張へのデフォルト・パスを変更し、ロギング・キャッシュの再試行間隔を変更できます。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Retry Interval
Extensions\EventManager\
LocalStorage:Retry
|
ローカル(XML)ファイルのロギング拡張に対する再試行間隔(分)を指定します。
|
(デフォルト-30)
|
Yes
|
dword/整数
|
|
Events to log
Extensions\EventManager\
LocalStorage:Filter
|
(rootフィルタ設定によって記録されたイベントのうち)ローカル(XML)ファイル・ロギング拡張に記録するイベントを区切るイベント・ロギング・フィルタ。
省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。
|
・ (デフォルト-0)
・ 4-Credential Edit
・ 8-Credential Delete
・ 10-Credential Copy
・ 20-Credential Add
・ 100-Provisioning
・ 200-Startup/Shutdown
・ 400-Help
・ 800-Settings Change
・ 1000-Reauthentication
・ 10000-Sync User Information
・ 20000-Logon Field: System Username
・ 40000-Logon Field: System Domain
・ 80000-Logon Field: Third Field
・ 100000-Logon Field: Username
・ 200000-Logon Field: Fourth Field
・ 800000-Application Password Change
・ 1000000-Primary Logon Method Change
・ 4000000-Backup/Restore
・ 40000000-Event Types: Info
|
Yes
|
dword/O
|
データベース・イベント・ロギング
「Database Event Logging」メニューを使用して、ログ・データを送信するサーバー・インスタンスおよび表名と、データベースに書き込むフィールドを指定します。
フィールドに加えて、ユーザーはサーバー・インスタンスおよび表名を指定する必要があります。これらは、以前はデータベース設定で定義されていたので、データベース・フィールドには不要でした。各フィールドにデータベースおよび表名が指定されていないと、イベントはデータベースへ書き込まれません。
「XML File Event Logging」設定では、ローカルにログを記録するイベントを指定できます。また、ローカル・ロギング拡張へのデフォルト・パスを変更し、ロギング・キャッシュの再試行間隔を変更できます。
デフォルト値(該当する場合)は、太字で示されます。
|
|
イベントをデータベースに書き込むためには、データベース・フィールドにデータベース・インスタンスおよび表名を指定する必要があります。
|
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Servers
Extensions\EventManager\
Database\Servers:ServerN
|
省略記号「…」ボタンをクリックして、データベース・サーバーを入力するウィンドウを開きます。1行に1つずつで、OLE DBの形式が使用されます。
"Provider=sqloledb; Data Source=myServerName; Initial Catalog=myDatabaseName; User Id=myUsername; Password=myPassword; Use Encryption for Data=True"
|
|
No
|
string/O
|
|
Default Server
Extensions\EventManager\
Database:Default Server
|
他のサーバーが指定されない場合にデータベース・ログが書き込まれるサーバー。(OLE DB接続文字列)
|
(デフォルト-Server1)
|
No
|
文字列/文字列
|
|
Default Table
Extensions\EventManager\
Database:Default Table
|
他の表が指定されない場合にデータベース・ログが書き込まれる表。
|
|
Yes
|
文字列/文字列
|
|
Retry Interval
Extensions\EventManager\
Database:Retry
|
データベース拡張に対する再試行間隔(分)
|
(デフォルト-30)
|
Yes
|
dword/整数
|
|
Events to log
Extensions\EventManager\
Database:Filter
|
(rootフィルタ設定によって記録されたイベントのうち)データベース拡張に記録するイベントを区切るイベント・ロギング・フィルタ。省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。
|
・ (デフォルト-0)
・ 4-Credential Edit
・ 8-Credential Delete
・ 10-Credential Copy
・ 20-Credential Add
・ 100-Provisioning
・ 200-Startup/Shutdown
・ 400-Help
・ 800-Settings Change
・ 1000-Reauthentication
・ 10000-Sync User Information
・ 20000-Logon Field: System Username
・ 40000-Logon Field: System Domain
・ 80000-Logon Field: Third Field
・ 100000-Logon Field: Username
・ 200000-Logon Field: Fourth Field
・ 800000-Application Password Change
・ 1000000-Primary Logon Method Change
・ 4000000-Backup/Restore
・ 40000000-Event Types: Info
|
Yes
|
dword/O
|
Event Fields
「Event Fields」画面には、イベント・ログで各フィールドに割り当てられたデータがリストされています。フィールドは、次の表で指定されたように、ログ情報へマッピングされます。
目的のフィールドの横のボックスをチェックすることで、ログに含めるイベントを選択できます。フィールド9および10には、事前割当てがありません。ボックスをクリックして、チェックボックスの横に目的のフィールドの名前を入力することで、これらのフィールドにカテゴリを割り当てます。使用可能なイベント名については、「Database」画面の「Events to log」リストを参照してください。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
AppName
Extensions\EventManager\
Database\EventFields:AppName
|
イベント・ログのアプリケーションの名前
|
(デフォルト-AppName)
|
Yes
|
文字列/文字列
|
|
Category
Extensions\EventManager\
Database\EventFields:Category
|
イベントのカテゴリ。
|
(デフォルト-Category)
|
Yes
|
文字列/文字列
|
|
Type
Extensions\EventManager\
Database\EventFields:Type
|
イベントの特定のタイプ。
|
(デフォルト-Type)
|
Yes
|
文字列/文字列
|
|
TimeStamp
Extensions\EventManager\
Database\EventFields:TimeStamp
|
イベントの時間。
|
(デフォルト-TimeStamp)
|
Yes
|
文字列/文字列
|
|
Field1
Extensions\EventManager\
Database\EventFields:Field1
|
イベント・タイプ
|
(デフォルト-Event type)
|
Yes
|
文字列/文字列
|
|
Field2
Extensions\EventManager\
Database\EventFields:Field2
|
UserID
|
(デフォルト-ユーザーID)
|
Yes
|
文字列/文字列
|
|
Field3
Extensions\EventManager\
Database\EventFields:Field3
|
ThirdField
|
(デフォルト-Third field)
|
Yes
|
文字列/文字列
|
|
Field4
Extensions\EventManager\
Database\EventFields:Field4
|
FourthField
|
(デフォルト-Fourth field)
|
Yes
|
文字列/文字列
|
|
Field5
Extensions\EventManager\
Database\EventFields:Field5
|
Windowsユーザー
|
(デフォルト-Windowsユーザー)
|
Yes
|
文字列/文字列
|
|
Field6
Extensions\EventManager\
Database\EventFields:Field6
|
ドメイン
|
(デフォルト-Domain)
|
Yes
|
文字列/文字列
|
|
Field7
Extensions\EventManager\
Database\EventFields:Field7
|
コンピュータ名
|
(デフォルト-Computer name)
|
Yes
|
文字列/文字列
|
|
Field8
Extensions\EventManager\
Database\EventFields:Field8
|
SSO Syncユーザー
|
(デフォルト-SSO synchronization user)
|
Yes
|
文字列/文字列
|
|
Field9
Extensions\EventManager\
Database\EventFields:Field9
|
必要に応じてカスタマイズ可能。
|
Open
|
Yes
|
文字列/文字列
|
|
Field10
Extensions\EventManager\
Database\EventFields:Field10
|
必要に応じてカスタマイズ可能。
|
Open
|
Yes
|
文字列/文字列
|
Kiosk Manager
「Kiosk Manager」設定を使用して、Kiosk環境のセッションを構成します。
デフォルト値(該当する場合)は、太字で示されます。
セッションの終了
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Allow administrator to close Kiosk Manager
SM\Agent:
AdministrativeClose
|
管理者がKiosk Managerを閉じることができるかどうかを指定します。この設定を有効にすると、管理者資格証明を持ったユーザーのみがエージェントを閉じることができます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword
|
|
Number of times to process termination
SM\Agent:
TerminationIteration
|
Kiosk Managerがアプリケーションの停止を実行する回数を入力します。
ここでは停止処理を、順序に関係なく指定された回数(または停止が完了するまで)繰り返すように設定します。これによってKiosk Managerは、停止処理中にアプリケーションが複数の画面を表示している場合にも対応することができます。
|
(デフォルト-1)
|
Yes
|
dword/整数
|
|
Timeout for locked session
SM\Agent:ExpireTerm
|
Kiosk Managerが一時停止中/ロック中のセッションを閉じるまでの非アクティブな時間(秒)を入力します。
|
(デフォルト-600 ([15分]))
|
Yes
|
dword/整数
|
マルチセッション構成
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Maximum number of sessions
SM\Agent:
MaxSessions
|
一度に許可されるセッションの最大数を指定します。
ゼロを設定した場合は、1つのセッションとして解釈されます。
|
|
この設定には最大数はありません。
|
SM\Agent:MaxSessions
|
(デフォルト-1)
|
Yes
|
dword/整数
|
|
Track Memory Consumption
SM\Agent:
TrackMemoryConsumption
|
Kiosk Managerが自動的にセッションを閉じるメモリー使用量のレベルを決定します。システムのメモリー使用量がこの値に設定した割合に達した場合、Kiosk Managerは最も古いユーザー・セッションを自動的に閉じます。
|
・ 最小値-0 (無効)
・ 最大値-100
・ (デフォルト-90)
|
Yes
|
dword/整数
|
キャッシュされた資格証明
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Use cached credentials
SM\Agent:
UseCachedCredentials
|
キャッシュされた資格証明を使用するかどうかを指定します。この設定が有効である場合、ログオン時に、エージェントにキャッシュされた資格証明のリストが表示され、そこから選択を行うことができます。この設定が無効である場合、 エージェントにリストが表示されず、ユーザーは、ログオン時にユーザー名を入力する必要があります。
キャッシュされた資格証明を有効にすると、パフォーマンスが向上します。
|
|
プライマリ・ログオン方法として、Universal Authentication Managerを使用する場合、キャッシュされた資格証明を使用できません(つまり、この設定に「No」を選択します)。Universal Authentication Managerの構成およびデプロイの詳細は、Oracle Enterprise Single Sign-On Suiteのインストレーション・ガイドおよびUniversal Authentication Managerの管理者ガイドを参照してください。
|
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
|
Storage Path
SM\Agent:
CachedCredentials
StoragePath
|
キャッシュされた資格証明を格納するデフォルトのフォルダを指定します。デフォルトは空の文字列です。
この値が空の場合、デフォルトのフォルダは次のとおりです。
C:\Documents and Settings\<Kiosk User>\Local Settings\ Application Data\ Passlogix\ SessionData\ Kiosk Manager User.
|
(デフォルト-空の文字列)
|
Yes
|
文字列
|
|
Expiration Date
SM\Agent:
CachedCredential
Expiration
|
キャッシュされた資格証明を保持する日数を指定します。0(ゼロ)は、この機能が無効であることを示します。
|
(デフォルト-30)
|
Yes
|
dword/整数
|
厳密認証オプション
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Lock session on smart card removal
AUI\SCauth:
LockSMOnRemoval
|
セッション所有者がリーダーからスマート・カードを取り外した場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、スマート・カードの取外し後もオープンしたままになります。
この設定は、従業員が、常にスマート・カードを表示する必要があるため、リーダーにスマート・カードをはめ込んだままにしておくことができない場合に役に立ちます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword
|
|
Lock session on read-only smart card removal
AUI\ROSCauth:
LockSMOnRemoval
|
セッション所有者がリーダーから読取り専用のスマート・カードを取り外した場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、読取り専用のスマート・カードの取外し後もオープンしたままになります。
この設定は、従業員が、常に読取り専用のスマート・カードを表示する必要があるため、リーダーにスマート・カードをはめ込んだままにしておくことができない場合に役に立ちます。
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword
|
|
Lock session on ESSO-UAM token removal
AUI\SCauth:
LockSMOnRemoval
|
セッション所有者がリーダーからUniversal Authentication Managerログオン・トークンを取り外した(または、パッシブ近接型トークンでは、タッチを離した)場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、トークンの取外し後もオープンしたままになります。
この設定は、従業員が、常にトークンを表示する必要があるため、リーダーにトークンをはめ込んだままにしておくことができない場合に役に立ちます。
|
|
ゼロ(0)以外の値の場合、トークン・イベントがKiosk Managerに転送されます。ここで選択したすべての設定は、Universal Authentication Managerのすべてのオーセンティケータに適用されます。
|
|
・ 0-No
・ 1-Yes (デフォルト)
|
Yes
|
dword
|
|
Pre-populate on startup
SM\Agent:Prepopulate
|
起動時に事前移入手順を実行するかどうかを指定します。オーセンティケータでこの手順が必要であり、Authentication Managerがインストールされていない場合は、この設定によってKiosk Managerによる必要な事前移入の実行が可能になり、Synchronization Managerによる再認証が不要になります。
|
|
プライマリ・ログオン方法として、Universal Authentication Managerを使用する場合、起動時に、事前移入を実行する必要があります(つまり、この設定にAlwaysを選択します)。Universal Authentication Managerの構成およびデプロイの詳細は、Oracle Enterprise Single Sign-On Suiteのインストレーション・ガイドおよびUniversal Authentication Managerの管理者ガイドを参照してください。
|
|
・ 0-On device-inイベント(デフォルト)
・ 1-Always
・ 2-Never
|
Yes
|
dword
|
|
Monitor for device events
SM\Agent:
DeviceMonitoring
|
Kiosk Managerがデバイスの挿入および取外しイベントをアクティブに監視するかどうかを指定します。
|
|
Universal Authentication Managerとの統合のためには、この設定に「Always」を設定する必要があります。
|
|
・ 0-Never
・ 1-Only when Access Manager is installed(デフォルト)
・ 2-Always
|
Yes
|
dword
|
監査ロギング
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Event Log Name
SM\Agent:EventLogName
|
Kiosk ManagerイベントのWindowsイベント・ログの名前を入力します。
|
(デフォルト-Application)
|
Yes
|
文字列
|
|
Event Log Machine Name
SM\Agent:EventLogMachine
|
Kiosk Managerイベントを記録するローカル・マシンの名前を入力します。
|
|
No
|
文字列
|
Kiosk Managerのユーザー・インタフェース
「User Interface」設定では、Kiosk Managerの外観およびエンドユーザーとの対話を制御します。
デフォルト値(該当する場合)は、太字で示されます。
オプション
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Allow computer restart
SM\Agent:AllowRestart
|
Kiosk Manager Desktop Managerにおけるコンピュータ再起動オプションの有効または無効を指定します。「Administrator must supply password」を選択することによって、管理者のみがコンピュータを再起動する権限を持つようにもできます。
|
|
Kioskアカウントに十分な権限がない場合、再起動が無効になる場合があります。
|
|
・ 0-No (デフォルト)
・ 1-Yes
・ 2-Administrator must supply password
|
Yes
|
dword
|
|
Allow computer shutdown
SM\Agent:AllowShutdown
|
Kiosk Manager Desktop Managerにおけるコンピュータ停止オプションの有効または無効を指定します。「Administrator must supply password」を選択することによって、管理者のみがコンピュータを停止する権限を持つようにもできます。
|
|
Kioskアカウントに十分な権限がない場合、停止が無効になる場合があります。
|
|
・ 0-No (デフォルト)
・ 1-Yes
・ 2-Administrator must supply password
|
Yes
|
dword
|
|
Show confirmation message when restarting kiosk
SM\Agent:ConfirmRestart
|
Kioskの再起動を選択した後に、ユーザーに確認メッセージが表示されるかどうかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
|
Show confirmation message when shutting down kiosk
SM\Agent:ConfirmShutdown
|
Kioskの停止を選択した後に、ユーザーに確認メッセージが表示されるかどうかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
|
Lock session when screen saver times out
SM\Agent:LockOnScreenSaver
|
スクリーン・セーバー・タイムアウトが発生した場合に、セッションをロックするかどうかを指定します。空白値は、値を「No」に設定した場合と同じ影響があります。
スクリーン・セーバー・タイムアウトが発生した場合に、Kiosk Managerがセッションをロックするかどうかを指定します。
この値を「No」 (デフォルト値)に設定するかまたは設定を指定しない場合、セッションの制御にデバイス検出が使用されたときは、スクリーン・セーバー・タイムアウトが発生した後に、Kiosk Managerはセッションをロックしません。
この値を「Yes」に設定する場合、Kiosk Managerは、セッションをロックします。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
|
Timeout for authentication prompt
SM\Agent:AuthTerm
|
同期/認証ダイアログが(非アクティブのために)閉じるまでの時間(秒単位)を入力します。
|
(デフォルト-600 [15分])
|
Yes
|
dword/整数
|
ステータス・ウィンドウ
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Show desktop status window
SM\Agent:DisplayDesktopStatus
|
現在のセッション所有者を表示するオプションのウィンドウを表示するかどうかを指定します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
|
X coordinate
SM\Agent:DesktopStatusX
|
ステータス・ウィンドウのX座標(水平位置)を入力します。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Y coordinate
SM\Agent:DesktopStatusY
|
ステータス・ウィンドウのY座標(垂直位置)を入力します。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
透過的な画面ロック
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Use transparent lock
SM\Agent:TransparentLock
|
透過的な画面ロックを有効にするかどうかを指定します。
透過的な画面ロックを有効にするかどうかを指定します。
透過的な画面ロックは、表示モードでデスクトップ入力(キーボードおよびマウス)をロックする機能を提供します。たとえば、セッションを開始することなく、監視アプリケーションの表示が可能です。
複数のセッションを実行している場合、透過的な画面ロックが機能すると、最後にアクティブなセッションが表示されます。
|
・ 0-No (デフォルト)
・ 1-Yes, but only for active session
・ 2-Yes
|
Yes
|
dword
|
|
Delay period
SM\Agent:TransparentLockTime
|
デスクトップを表示する前にマウスおよびキーボードの非アクティブな状態を待機する秒数を指定します。
|
|
この機能を使用するには、上述の「Use transparent lock」設定を有効にする必要があります。
|
|
(5-デフォルト)
|
Yes
|
dword/整数
|
|
Ignore delay period if authentication is canceled
SM\Agent:
TransparentDisplayAfterCancel
|
オーセンティケータまたはシンクロナイザ・ダイアログのキャンセル後すぐに透過性を有効にするかどうかを指定します。
|
|
この機能を使用するには、上述の「Use transparent lock」設定を有効にする必要があります。
|
|
・ 0-No (デスクトップは、非アクティブなタイマーが期限切れになるときに表示されます。)(デフォルト)
・ 1-Yes (デスクトップはすぐに表示されます。)
|
Yes
|
dword
|
|
Only recognize Ctrl-Alt-Del
SM\Agent:
TransparentOnlyRecognizeCAD
|
[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックすることおよびdevice-inをサポートするオーセンティケータのみが、Desktop Managerを表示する方法としてエージェントに認識されるかどうかを指定します。
|
・ 0-No (すべてのキーボード・アクティビティまたはマウス・アクティビティで、Desktop Managerを表示します。)(デフォルト)
・ 1-Yes (エージェントは、すべてのキーボード・アクティビティまたはマウス・アクティビティを無視します。[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックすることおよびdevice-inをサポートするオーセンティケータのみが、Desktop Managerを表示する方法として認識されます。)
|
Yes
|
dword
|
Setting the Kiosk Manager Background Image
このパネルは、会社ロゴなどのバックグラウンド・イメージをKiosk Manager Desktop Managerに配置する場合に使用します。
Desktop Managerのバックグラウンド・イメージの管理設定を構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. 「Global Agent Settings」→「Live」→「Kiosk Manager」→「User Interface」→ 「Background Image」にナビゲートします。
デフォルト値(該当する場合)は、太字で示されます。
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Location of image file
SM\Agent\Desktop:
LogoPath
|
イメージ・ファイルの完全修飾されたパスおよびファイル名。
ファイル名を含めて、イメージの完全修飾されたパスをイメージ・ファイルに入力します。省略記号「…」ボタンをクリックして、ファイルを検索します。
|
|
Yes
|
文字列/ファイル名
|
|
X coordinate
SM\Agent\Desktop:
LogoX
|
イメージのX座標(水平位置)を入力します。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Y coordinate
SM\Agent\Desktop:
LogoY
|
イメージのY座標(垂直位置)を入力します。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Width
SM\Agent\Desktop:
LogoWidth
|
イメージの幅を入力します(ピクセル単位)。
|
(デフォルト-300)
|
Yes
|
dword/整数
|
|
Height
SM\Agent\Desktop:
LogoHeight
|
イメージの高さを入力します(ピクセル単位)。
|
(デフォルト-300)
|
Yes
|
dword/整数
|
|
Placement behavior
SM\Agent\Desktop:
LogoMode
|
イメージの座標およびディメンションについての処理方法を指定します。
|
・ 0-Normal (イメージを座標の左上隅に配置し、指定した高さおよび幅よりも大きい場合は一部が切り取られます) (デフォルト)
・ 1-Auto (座標の左上隅にイメージを配置します)
・ 2-Center (イメージは座標の中心に配置され、指定した高さおよび幅より大きい場合は一部が切り取られます)
・ 3-Stretch (イメージは指定した座標に合わせて拡大または縮小されます)
・ 4-Maximize (イメージは、全画面サイズまで引き伸ばされます)
|
Yes
|
dword
|
800×600表示の例を次に示します。
このスクリーン・ショットは、Desktop Managerログオン・ダイアログの水平および垂直ディメンションおよび画面上での位置を示しています。
ロゴ・バナーの置換
Desktop Managerログオン・ダイアログでのOracle Kiosk Managerロゴ・バナーの変更機能は、手動の手順を介して使用できます。ロゴを置換するには、次の手順を実行する必要があります。
1. SMAgent.exeがインストールされているディレクトリ(
C:\Program Files\Passlogix\SM\brandingなど)に、brandingフォルダを作成します。
2. brandingフォルダにbanner.gifという名前でカスタマイズ済ロゴ・バナーを配置します。
3. カスタマイズ済バナーは、次回のKiosk Managerの起動時に表示されます。
Kiosk Managerデスクトップへのカスタマイズ済メッセージの追加
このパネルは、Kiosk Manager Desktop Managerにメッセージ(HIPAAコンプライアンスを通知するメッセージなど)をアップロードする場合に使用します。このメッセージはDesktop Managerがアクティブなときに表示されます。
関連するサイズには、次のようなものがあります。
・ 幅 = 476ピクセル
・ 高さ = 404ピクセル
・ X起点 = (画面幅 ? 476)/2
・ Y起点 = (画面高 ? 404)/2
・ Xエクステント = X起点 + 476-1
・ Yエクステント = Y起点 + 404 - 1
800×600表示の例を次に示します。
・ Desktop Managerのログオン・ウィンドウのサイズは次のとおりです。
・ 幅: 476ピクセル、高さ: 404ピクセル
・ 800 X 600表示では、座標161、97に表示されます。
デフォルト値(該当する場合)は、太字で示されます。
Message
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Message text
SM\Agent\Desktop:
MOTDText
|
Desktop Managerに表示するメッセージを入力します。このメッセージは、ユーザーが新しいセッションをロック解除したときに表示されます。
|
|
Yes
|
文字列/文字列
|
フォント
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
名前
SM\Agent\Desktop:
MOTDFontName
|
メッセージ・テキスト・フォントを指定します。ドロップダウン・リストからフォントを選択します。
|
|
Yes
|
文字列/フォント
|
|
Size
SM\Agent\Desktop:
MOTDFontSize
|
メッセージ・テキスト・フォントのサイズを指定します。
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Style
SM\Agent\Desktop:
MOTDFontStyle
|
メッセージ・テキスト・フォントのスタイルを指定します。
|
・ 0-Regular (デフォルト)
・ 1-Bold
・ 2-Italic
|
Yes
|
dword
|
色
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Background
SM\Agent\Desktop:
MOTDBackColor
|
省略記号「…」ボタンをクリックして、メッセージ・テキストのバックグラウンドの色を選択します。
|
|
Yes
|
文字列/色
|
|
Foreground
SM\Agent\Desktop:
MOTDForeColor
|
省略記号「…」ボタンをクリックして、メッセージ・テキストのフォアグラウンドの色を選択します。
|
|
Yes
|
文字列/色
|
配置
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
X coordinate
SM\Agent\Desktop:
MOTDX
|
メッセージ・テキストのX座標を入力します(位置付けはKiosk Managerのデスクトップ画面上で、ステータス・イメージを基準とします)。負の値では、メッセージは、ステータス・イメージの左側に表示されます。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Y coordinate
SM\Agent\Desktop:
MOTDY
|
メッセージ・テキストのY座標を入力します(位置付けはKiosk Managerのデスクトップ画面上で、ステータス・イメージを基準とします)。負の値では、メッセージは、ステータス・イメージの上部に表示されます。
|
|
負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294
|
|
(デフォルト-0)
|
Yes
|
dword/整数
|
|
Width
SM\Agent\Desktop:
MOTDWidth
|
メッセージ・テキストの幅をピクセル単位で指定します。
|
(デフォルト-300)
|
Yes
|
dword/整数
|
|
Height
SM\Agent\Desktop:
MOTDHeight
|
メッセージ・テキストの高さをピクセル単位で指定します。
|
(デフォルト-300)
|
Yes
|
dword/整数
|
|
Size automatically
SM\Agent\Desktop:
MOTDAutoSize
|
テキスト・メッセージを使用可能な領域に合うように自動調整するかどうかを選択します。
|
・ 0-No (デフォルト)
・ 1-Yes
|
Yes
|
dword
|
800×600表示の例を次に示します。
次のスクリーン・ショットは、テキスト・メッセージの例を示しています。このテキスト・メッセージは、このスクリーン・ショットに表示されているように、テキスト・メッセージのカスタマイズに使用する値を表示します。
次の画面には、上述のように、テキスト・メッセージの生成に使用する実際の値が表示されます。
Oracle Access Managerのサポート
Logon Managerでは、SSLを使用して1つ以上のAccess Managerエンドポイントを介してAccess Managerに対するセキュアな認証を行い、Access Manager認証Cookieを取得して、それを現在のWebブラウザ・セッションに透過的に取り込むことで、Oracle Access Management Access Managerで保護されたWebアプリケーションへの透過的なシングルサインオン機能を提供します。この100%シームレスな統合によって、Access Managerで保護されたWebアプリケーションのログオン・プロセスの可視性が完全に削除され、パフォーマンスを悪化させずに、すぐにアプリケーションを使用できるようになります。
|
|
Logon Managerでは、Access Managerの事前構成済テンプレートが提供されます。この機能を使用するには、このテンプレートをリポジトリに公開し、Access Managerが有効なLogon Managerクライアント・マシンへ伝播する必要があります。
Access Managerとの統合は、Embedded Credential Collectorを使用している場合のみに可能で、Distributed Credential Collectorはサポートされていません。
|
この機能を有効にするには、次の操作を実行する必要があります。
1. Access Managerデプロイメント内の1つ以上のAccess Managerエンドポイントをインストールおよび構成します。
2. Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドで説明されているように、エンドユーザー・マシンで、Logon ManagerのOAMサポート・コンポーネントをインストールします。
3. OAMで保護されたリソース・テンプレートをリポジトリに公開します。このテンプレートは、Administrative Consoleインストールに含まれています。
a. Administrative Consoleを起動します。
b. 「Applications」ノードで右クリックして、「New Web App」を選択します。
c. 使用可能なアプリケーションのドロップダウン・リストから「OAM Protected Resources」を選択します。
d. 「Finish」をクリックします。OAMで保護されたリソース・アプリケーションは、「Applications」ノードの下にリストされています。URLまたはログオン・フィールドを変更する必要はなく、テンプレートはすぐに使用できるように構成されています。
4. Access Manager設定で説明されるように、Logon Managerが目的のAccess Managerエンドポイントに接続するよう構成します。(2つ以上のエンドポイントが指定されている場合、Logon Managerは、Administrative Consoleに入力された順に接続が確立するまで、指定されたそれぞれのエンドポイントへの接続を試行します。)
|
|
エンドポイントURLを次の形式でのみ入力する必要があります。
https://<server>:<port>/oam/services/rest/11.1.2.0.0/sso/token/
<server>は、ターゲット・エンドポイントの完全なネットワーク・アドレスで、<port>は、エンドポイントが接続をリスニングするポート数です。
|
5. 次のいずれかの方法を使用して、Logon ManagerにエンドユーザーのAccess Manager資格証明を提供します。
・ Provisioning Gatewayを介した資格証明のリモートでのプロビジョニング
・ ユーザーのリポジトリ資格証明を使用してAccess Managerに対する認証をするためのLogon Managerの構成
・ Logon ManagerのAccess Managerに対する認証の初めての試行時でのエンドユーザーからのAccess Manager資格証明の取得(取得された資格証明は、取得されるとLogon Managerのセキュアなキャッシュに格納され、セキュアなキャッシュが消去されないかぎり、ユーザーは、再度資格証明の入力を求められません。)
次のセッション属性は、Logon Managerによって、セッションへプッシュされます。
|
属性
|
説明
|
|
$session.attr.client.firewallenabled
|
クライアント・マシンでファイアウォールがアクティブにするかどうかを指定します。
|
|
$session.attr.client.antivirusenabled
|
クライアント・マシンでウィルス対策アプリケーションをアクティブにするかどうかを指定します。
|
|
$session.attr.client.fingerprint
|
クライアント・マシンの一意識別子を指定します。
|
Access Managerに対して肯定的に認証された後、Logon Managerが実行中で、管理者によって構成された更新間隔に従って定期的にまたは期限切れのときに更新されているかぎり、セッションCookieは、Webブラウザのキャッシュに残ります。Logon Managerを停止すると、Webブラウザのキャッシュからcookieが削除されます。
|
|
Logon Managerでは、Access Manager資格証明のパスワード変更をサポートしていません。ユーザーのAccess Managerパスワードが期限切れになった場合、他の方法でリセットする必要があります。Logon Managerが現在提供されているAccess Managerの資格証明の認証を行えない場合、ユーザーに有効な資格証明を入力するよう求めます。
|
「User interface」設定グループの「Authentication dialog message」設定を使用して、ユーザーにAccess Manager資格証明の入力を求めるメッセージを変更することまたはデフォルトのメッセージのまま残すことができます。変更することを選択した場合、特定の環境のユーザーにわかりやすいメッセージを選択します。
Access Manager
接続情報
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Endpoints
Extensions\AccessManager\
WebHO\OAM:EndpointN
|
エージェントがAccess Managerトークン・エンドポイントとして使用する必要のあるURLのリスト。
ボックスをチェックして、省略記号(…)ボタンをクリックしてから、「Endpoints」ウィンドウに1行ずつURLを入力します。エージェントが試行するすべてのURLを入力したら、「OK」をクリックします。
エージェントは、URLを入力した順に試行し、1つ目のURLが失敗したら、2つ目に進みます。
|
|
Yes
|
string/O
|
|
Use sync credentials to authenticate to OAM
Extensions\AccessManager\
WebHO\OAM:CredUseSync
|
Logon Managerがシンクロナイザの資格証明を使用して、自動的にAccess Managerテンプレートのアカウントを作成することを許可します。
|
|
この機能は、Active Directory、AD LDS (ADAM)およびLDAPシンクロナイザのみをサポートします。
「Credentials to use」設定の「Use Active Directory server account only」を選択しないかぎり、Active Directoryシンクロナイザでは、この設定を有効にできません。
「Credentials to use」設定の「AD LDS (ADAM) server account」を選択しないかぎり、AD LDS (ADAM)シンクロナイザでは、この設定を有効にできません。
|
|
0-No (デフォルト)
1-Yes
|
Yes
|
dword/O
|
動作
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Perform OAM server certificate validation
Extensions\AccessManager\
WebHO\OAM:
PerformCertificateValidation
|
エージェントが、エンドポイントへの接続時に、Access Managerサーバー証明書を確認するかどうかを指定します。証明書が無効な場合、接続は確立されません。
|
0-No。エージェントは、サーバー証明書(低セキュリティ)を無視します(デフォルト)
1-Yes。エージェントは、サーバー証明書を確認します。
|
Yes
|
dword/O
|
|
OAM credentials request retry interval
Extensions\AccessManager\
WebHO\OAM:CredRetryInterval
|
ユーザーがAccess Manager資格証明のリクエストをキャンセルした場合に、エージェントが再度Access Manager資格証明を要求するまでの間隔(秒単位)を指定します。
値の範囲は、0(エージェントはすぐに資格証明をリクエスト)から300(エージェントは5分後に資格証明をリクエスト)までです。
|
0から300までの任意の整数。デフォルト値は30です。
|
Yes
|
dword/整数
|
|
OAM session renewal interval
Extensions\AccessManager\WebHO\
OAM:SessionRenewalInterval
|
Access Managerセッション・トークンが有効であるかどうかを検出するために、エージェントがAccess Managerエンドポイントのポーリングに使用する間隔(分)を指定します。
最小値は1分で、これは、エージェントがAccess Managerセッション・トークンの妥当性を1分間隔で確認するということです。
|
|
値が大きいほど、ネットワーク・トラフィックが減りますが、Access Managerセッション・トークンの期限切れに対する検出感度が下がります。
|
|
正の整数。
デフォルト値は1です。
|
Yes
|
dword/整数
|
ユーザー・インタフェース
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Authentication dialog message
Extensions\AccessManager\WebHO\
OAM:AuthWindowSubtitle
|
Logon ManagerがユーザーにAccess Manager資格証明を求めるために表示するメッセージ。このメッセージは、使用する環境のユーザーにわかりやすく、デフォルトのメッセージと同等の長さである必要があります。
|
デフォルト: Logon Manager needs your credentials for Access Manager.これらの資格証明がわからない場合は、管理者に連絡してください。
|
Yes
|
文字列/文字列
|
Password Resetとの統合
Universal Authentication Managerチャレンジ質問ログオン方法では、Password Resetを使用して、データの登録Universal Authentication Managerを介してユーザーによって登録された質問および回答を格納でき(既存のPassword Reset登録は、Universal Authentication Managerでは使用できません)、データ登録の移植性を提供します。また、Password Resetとの同期では、Password Resetによって、異なるユーザーやグループおよび各質問の重み付けの個々のカスタマイズに使用可能な質問に対する制御ができます。
Universal Authentication ManagerとPassword Resetを統合するよう構成するには、次の操作を実行する必要があります。
1. チャレンジ質問ログオン方法がまだインストールされていない場合は、インストールします。手順については、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
2. Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドで説明されているように、Password Resetをインストールおよび構成します。
3. Password Reset同期URLを取得します。
URLの形式は、
https://<hostname>:<port>/
vGOSelfServiceReset/WebServices/Synchronization.asmxです。
4. Universal Authentication Managerを構成して、次の項で説明されるように、Password Resetと同期します。
5. Password Reset内で説明されるように、チャレンジ質問を構成します。詳細は、Password Resetのドキュメントを参照してください。
6. Universal Authentication Managerを介して、チャレンジ質問ログオン方法を登録することで、ユーザーに、質問を選択して、回答を提供するよう指示します(既存のPassword Reset登録は、Universal Authentication Managerで使用できません)。
Universal Authentication Managerで、認証にPassword Reset質問および回答を使用するよう構成するには、次を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 「Global Agent Settings」ノードの下で、変更する設定のセットへナビゲートするか、必要に応じて、ロードします。
3. 「Password Reset」ノードにナビゲートして、選択します。
4. 右側のペインで、Password Reset Synchronization URLオプションの横のチェックボックスを選択して、
https://<hostname>:<port>/
vGOSelfServiceReset/WebServices/Synchronization.asmxの形式で適切なURLを入力します。
|
|
SSL接続のPassword Resetデプロイメントを構成していない場合、https://をhttp://に置換します。
|
5. エンドユーザー・マシンへの配布用に、.REGファイルへ設定をエクスポートします。
a. 「File」メニューで、「Export」を選択します。
b. 表示されるダイアログで、「HKLM Registry Format (.REG)」をクリックします。
c. 表示される「Save」ダイアログで、目的のターゲットの場所にナビゲートして、説明的なファイル名を入力して、「Save」をクリックします。
6. .REGファイルをエンドユーザー・マシンに配布して、各マシンのWindowsレジストリにマージします。
Password Resetの設定
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Password Reset synchronization URL
SSPR\Sync:SyncURL
|
Password Reset同期サーバーのURLを指定します。この設定は、エンタープライズ・クライアント・モードでUniversal Authentication Managerのチャレンジ質問機能を使用する場合に必要です。構成すると、チャレンジ質問の登録プロセス中に、Password Resetのインタビュー質問が使用され、Universal Authentication Managerに登録されているチャレンジ質問がPassword Resetに対する有効な登録になります。
例
https://server/vGOSelfServiceReset/WebServices/Synchronization.asmx
|
|
SSL接続のPassword Resetデプロイメントを構成していない場合、https://をhttp://に置換します。
|
|
|
No
|
文字列/文字列
|
この設定の使用の詳細は、Oracle Enterprise Single Sign-On Suite管理者ガイドを参照してください。
Oracle Access ManagerおよびOracle Adaptive Access Managerと統合するためのIdentity Context
Identity Contextは、クライアント・マシン固有のデータを収集するモジュールです。収集されたデータは、Oracle Access ManagerおよびOracle Adaptive Access Managerによって様々な目的のために活用されます。Identity Contextモジュールは、定期的にリフレッシュを実行することで、データを常に最新に維持します。
Oracle Access ManagerとOracle Adaptive Access Managerのいずれも存在しない場合、このモジュールは不要です。無効化すると、貴重なシステム・リソースが解放されます。Identity Contextの設定を使用して、IDContextモジュールの可用性とリフレッシュ間隔を制御します。
Identity Contextの設定
|
表示名/
レジストリ・パス
|
説明
|
オプション/
デフォルト
|
オーバーライド可能
|
レジストリ・タイプ/
データ型
|
|
Enabled
IDcontext\Enabled
|
システム起動時/ログオン時にIdentity Contextモジュールを起動するかどうかを指定します。起動時にIdentity Contextを実行しない場合は「No」を選択します。
|
0-No
1-Yes (デフォルト)
|
可
|
dword/O
|
|
Polling interval
IDContext:PollingInterval
|
Identity Contextデータが自動的にリフレッシュされる間隔(ミリ秒単位)。
選択する値が小さいほど、データの更新が頻繁に行われます。
|
任意の値(デフォルトは10,000)
|
可
|
dword/整数
|
構成テスト・マネージャの使用
このツールでは、グローバル・エージェント設定をテストして、正しく構成されていることを確認します。
|
|
これらのテストは、Active Directoryリポジトリのみで実行できます。
|
このツールにアクセスするには、次のいずれかを実行します。
・ 「Tools」メニューから「Test Global Agent Settings」を選択します。この場所からテスト・マネージャにアクセスする場合、テストするグローバル・エージェント設定のセットを選択する必要があります。
または
・ >グローバル・エージェント設定のセットで右クリックして、「Test」をクリックします。この場所からテスト・マネージャにアクセスする場合、テストは、グローバル・エージェント設定のそのセットのみで実行されます。
テスト・マネージャで行われたすべての変更は、Oracle Enterprise Single Sign-On Administrative Consoleに反映されます。テスト・マネージャの起動時に、ダイアログ・ボックスが表示され、テスト・マネージャで行ったすべての変更がOracle Enterprise Single Sign-On Administrative Consoleに反映されたことを知らせます。「Do not show this notice again」を選択すると、このメッセージを閉じることができます。
テスト・プロセスには次の3つのステージがあります。
1. カテゴリの選択。 テスト・カテゴリを選択して、実行するテストを選択します。
2. パラメータの入力。 テストを実行するために必要なすべてのデータを入力します。
3. 実行および結果。 テストの実行、結果の表示および必要に応じて変更を行います。
Categories
このツールを開くと、左側のペインで「Categories」ステージが選択されています。「Test Categories」ペインには、カテゴリおよび個々のテストがリストされています。
「Test Categories」リストは、対話型で、目的のカテゴリのチェックまたはチェック解除、個々のテストを表示するカテゴリの展開または縮小ができます。任意のカテゴリをチェックするか、または、右側のペインにテストおよび説明が表示されます。
デフォルトでは、すべてのカテゴリが選択されています。個々のテストを選択することはできません。
1つ以上のカテゴリが選択されているかぎり、「Next」ボタンおよび「Parameters」ステージが有効です。「Execution and Results」ステージは、データ・パラメータが満たされるまで使用できません。
「Synchronization」テスト・カテゴリには、同期設定を確認する、次の個々のテストが含まれています。
|
テスト名
|
テストの説明
|
|
Server Validation
|
指定したサーバーが有効なサーバー名で、アクセス可能かどうかを検証します。IPアドレスがサーバー名として入力されている場合、またはサーバーにアクセスできない場合、このテストに失敗します。
|
|
SSL Configuration
|
SSLが有効であるかを確認するためにサーバーを確認します。SSLがサーバーで有効でなく、Oracle Enterprise Single Sign-On Administrative Consoleで有効である場合、このテストに失敗します。
|
|
Schema Extension
|
スキーマが拡張されているかどうかを検証します。スキーマが拡張されていない場合、このテストに失敗します。
|
|
User Object Schema Extension
|
Active Directoryユーザー・オブジェクトの下でスキーマが展開していることを検証します。スキーマが拡張されていない場合、このテストに失敗します。このテストは、Active Directoryシンクロナイザのみに適用されます。
|
|
Configuration Object Retrieval
|
「Configuration Objects Base Location」パスが有効で、構成オブジェクトがテスト資格証明で取得できることを検証します。パスが有効ではない場合または指定したテスト資格証明が構成オブジェクトを取得する権限を持っていない場合、このテストに失敗します。
|
|
Credential Location Access Rights
|
資格証明をアップロード、取得および削除するサーバーの資格証明の場所に適切なアクセス権が割り当てられていることを検証します。指定した資格証明に、これらのアクションを実行する権限がない場合、このテストに失敗します。
|
「Synchronization」テスト・カテゴリが選択されていることを確認して、「Next」をクリックするか、または、左側のペインから「Parameters」ステージをクリックします。
Parameters
「Parameters」ステージでは、テストを実行するために必要なすべてのデータを収集します。このステージ中にリクエストされたデータは、「Categories」ステージで選択されたテスト・カテゴリに依存します。
「Execution & Results」ステージは、データ・パラメータが満たされるまで使用できません。
テスト・パラメータ
パラメータは、「Test Parameters」ペインにリストされており、選択したテストに基づき動的です。各パラメータには、「Needed」または「Acquired」のステータス・アイコンがあり、注意が必要なパラメータを視覚的に示します。たとえば、ユーザー資格証明が取得されておらず、グローバル・エージェント設定が取得されている場合、「Test Parameter」リストは、次のように表示されます。
データ
右側の「Data」ペインに、各パラメータに必要なデータを入力します。
テストを実行する前に、必要でデータすべてを入力する必要があります。すべてのパラメータが正常に取得されると、「Next」ボタンおよび「Execution & Results」ステージが使用可能になります。
「Data」ペインの下部にある「Next Parameter」ボタンは、複数のパラメータがある場合に有効になります。これにより、すべてのパラメータのクリックがすばやくできます。
|
|
入力したデータ・パラメータの品質が良いことを確認することが大切です。データが存在し、ステータスが取得済に設定されているだけでは、データが正しいというわけではありません。
|
データが入力されると、現在のセッションに取得されます。将来のセッションのために、データ保存またはクリアできます。
・ データの保存。 将来のセッションのために、データを保存する場合、「Data」ペインの下部にある「Save this value」チェック・ボックスがチェックされていることを確認します。
・ データのクリア。 このセッションおよび将来のセッションのために、データをクリアする場合、「Data」ペインの上部にある「Clear All Data」ボタンをクリックします。これを実行するかどうかを確認するメッセージが表示されます。このアクションを確認すると、入力されたすべてのパラメータがクリアされ、すべてのパラメータのステータスが「Needed」になります。また、「Execution and Results」ステージに進むオプションも無効になります。
すべてのデータを入力した後、「Next」をクリックするか、または左側のペインで「Execution & Results」ステージを選択します。
すべてのデータの取得後に、次のステージに進みます。
Execution and Results
「Execution & Results」ステージでは、テストの実行、結果の表示および必要に応じて変更を行います。
「Execution & Results」ステージは、「Parameters」ステージ中にすべてのデータを入力するまで使用できません。
実行と結果のテスト
「Test Execution & Results」ペインには、実行するすべてのテストが実行する順にリストされています。「Execute Tests」をクリックすると、テストの実行が開始されます。テストの進行中は、テストのステータスを示すアイコンが表示されます。5つのステータスがあります。
・ Passed。 テストが完了し、成功しました。
・ Need info。 ユーザーが求められた情報を入力するまで、テストを一時停止します。
・ Warning。 ユーザーに警告を通知し、テストは一時停止中です。
・ Failed。 テストに失敗しました。テストが失敗した理由を説明する情報が提供されます。1つのテストに失敗すると、すべてのテストが停止します。
・ In Progress。 テストが進行中です。
テストの実行後に、それらをクリックして、「Description」ペインで結果および各テストについてのメッセージを読むことができます。
説明
「Description」ペインには、テストの説明が提供されます。テストの実行中、「Description」ペインの下部に、警告、成功および失敗の状況および情報を変更してテストを続行するフィールドが提供されます。
「Execute Tests」ボタンで、テストを開始します。テストを実行すると、「Execute Tests」ボタンが「Stop Test」に切り替わり、必要に応じて、テストをキャンセルできます。
このペインでは、「Failed」または「Need Info」のテスト結果のいずれかと対話できます。情報およびアクションまたは変更を行いテストを再実行できるフィールドが表示されます。
すべてのデータのクリア
このテストおよび将来のセッションのために、データをクリアする場合、「Description」ペインの上部にある「Clear All Data」ボタンをクリックします。これを実行するかどうかを確認するメッセージが表示され、2つのパスが提供されます。
・ すべてのパラメータを削除するには、「OK」をクリックします。
・ ダイアログ・ボックスを閉じ、すべてのデータを保持するには、「Cancel」をクリックします。
「OK」をクリックして、以前にテストを実行して、右側のフレームに結果がある場合、テスト結果は残りますが、「Execute Test」ボタンは無効になります。
すべてのテストに成功すると、右上のタイトル・バーのXでテスト・マネージャを閉じることで、終了できます。また、「Clear All Data」ボタンを使用して、「Categories」または「Parameters」ページにナビゲートして、異なるテストを実行するために設定することもできます。
Logon Managerのデプロイ
この項では、ネットワーク環境でLogon Managerをパッケージング、デプロイおよび管理するためのオプションについて説明します。
・ Microsoft Windows Installer (MSI)パッケージ
・ デプロイメント・オプション
・ 管理
・ ユーザー資格証明および設定の格納
・ ファイルベースのバックアップ/リストア
デプロイメント・オプション
この項では、デフォルトのMSIパッケージの使用について次の観点から説明します。
・ 出荷時のMSIパッケージでのインストールの実行
・ コマンドラインからのMSIパッケージの起動
・ リモート・インストール
・ MSIパッケージの編集
・ Oracle Enterprise Single Sign-On Administrative Consoleで作成したログオンおよび設定のMSIパッケージへの追加
・ 代替ツールおよびメソッド
出荷時のMSIパッケージでのインストールの実行
出荷時のMSIパッケージを使用してインストールを実行するには、ネットワーク共有からsetupプログラムを実行してプロンプトに従います。環境はそれぞれ異なり、環境ごとに様々な要件があるため、カスタム・インストールを実行して、目的のコンポーネントを選択することをお薦めします。
コマンドラインからのインストール
MSIパッケージはコマンドラインからインストールできます。 これを行うには、適切なパラメータを指定してセットアップ・プログラムを実行します。 コマンドラインの構成要素は、実行可能ファイル名、InstallShieldパラメータ(たとえば、通知なしのインストールの場合は/qn)およびLogon Manager機能名です。
|
/qn
|
MSIパッケージは、通知なしでインストールされます(オプション)。
|
|
RUNVGO
|
インストール後にエージェントを起動するかどうかを指定します(「YES」または「NO」)。
|
|
MDAC
|
MDACをインストールするかどうかを指定します(「YES」または「NO」)。
|
|
ADDLOCAL "FeatureNames"
|
FeatureNamesは、インストールするLogon Manager機能のカンマで区切られたリストです(指定可能なリストの値については、「MSIパッケージの内容」を参照してください)。
|
|
|
引用符は重要です。引用符は、各オプションの値(等号(=)の後)およびMSI機能リストの前後に付ける必要があります。
|
例
コア、Windowsオーセンティケータ、Microsoft Internet Explorerまたはホストのサポートなし、およびMicrosoft Active Directoryシンクロナイザをインストール(視覚的なサインの表示なし)してから、次のようにエージェントを起動します。
Msiexec /i ProductName.msi /qn RUNVGO="YES" ADDLOCAL="Core,Authenticators,SLA,LogonMgr,SetupMgr,SyncMgr,AD_Sync,English_Pack"
MSIパッケージのリモート・インストール
コンピュータにLogon Managerをリモートでインストールするために、システムが次の条件を満たしていることを確認します。
・ Windowsインストーラが、リモート・コンピュータに存在する必要があります。
・ MSIパッケージから、リモート・コンピュータにアクセスできる必要があります。
・ リモート・インストールを実行するユーザーは、リモート・コンピュータへの管理者アクセス権を持っている必要があります。
MSIパッケージの編集
組織によっては、Oracle提供のオプションのコンポーネントを指定しない状態、または追加コンポーネント(代替オーセンティケータなど)を指定した状態で、MSIパッケージを配布します。Oracle Enterprise Single Sign-On Administrative Consoleには、企業のニーズに対応するカスタムMSIの作成に使用できるカスタムMSIジェネレータが含まれます。
コンソールで作成されたアプリケーション・ログオンおよびグローバル・エージェント設定の追加
カスタムMSIジェネレータを使用すると、変更済のLogon Managerインストール・パッケージを作成することもできます。 この機能を使用して作成した変更済のMSIパッケージには、次を含めることができます。
・ entlist.iniファイルまたは現在のOracle Enterprise Single Sign-On Administrative Console構成から選択されたアプリケーション・ログオン。
・ 管理オーバーライド(.ini)ファイルまたは現在のOracle Enterprise Single Sign-On Administrative Console構成からのエージェント設定。
これを実行するには、「Tools」メニューの「Generate Customized MSI」コマンドを使用します。
その他のデプロイメント・ツールの使用
Logon Managerは、次のような様々なデプロイメント・メソッドおよびツールと連携して動作します。
・ 手動インストール(たとえば、CD-ROMまたはネットワーク共有から)
・ Microsoft Windows Installer (MSI)サービス(ローカルまたはリモート・インストール)
・ ネットワーク・リモート・インストール(ファイルのコピー、リモートからのレジストリ・エントリのデスクトップへのインストールなど)
・ Microsoft SMS
・ IBM Tivoli
・ ・Attachmate NetWizard
・ Intel LANDesk
・ Novadigm Radia/EDM
・ Novell ZENworks
・ HP OpenView
・ Seagate Desktop Management Suite
・ McAfee ZAC Suite
・ Veritas WinINSTALL
Microsoft Windows Installer (MSI)パッケージ
Logon Managerは、MSIパッケージ(Microsoftやその他のベンダーのインストーラで使用される標準形式)として出荷されます。他の多数のインストーラは、MSIファイルを読み取ることができます。Logon Manager設定MSIの内容の詳細は、「MSIパッケージの内容」を参照してください。
次のような特殊な要件を満たすためにMSIパッケージの作成が必要な場合があります:
・ カスタム・アプリケーションおよびLogon Manager Agent構成を指定する
・ エンド・ユーザーがエージェントをインストールする前に、一部のオプションまたはコンポーネント(別のオーセンティケータなど)を非アクティブ化する
・ 複雑な環境(バイオメトリック・セキュリティ・デバイスまたは一般的でないネットワーク・トポロジを使用している環境など)に対応するためにオプションまたはコンポーネントを追加する。
これらの要件を満たすために、次のオプションがあります。
・ コマンドライン・インストールを使用する。
・ Oracle Enterprise Single Sign-On Administrative ConsoleのカスタムMSIジェネレータを使用してインストーラ・パッケージをカスタマイズする。
・ Oracle Enterprise Single Sign-On Administrative Consoleで作成したログオンおよびグローバル・エージェント設定の構成をインストーラに含める。
・ サード・パーティのデプロイメント・ツールを使用してデプロイする。
Anywhereを使用したエージェントのデプロイ
Anywhereを使用すると、Logon Manager、Authentication ManagerおよびProvisioning Gatewayの構成を任意に組み合せて簡単かつ柔軟にデプロイでき、管理者の操作はほとんど必要ありません。
社内メンバーに必要な数の構成を作成し、Anywhereによりスナップショットを作成して、該当するユーザーに配布する完全なデプロイメント・パッケージをコンパイルできます。Anywhereによってアップグレードおよびロールバックの処理も容易になり、手動による操作はほとんど必要ありません。
Anywhereコンポーネントを使用してLogon Managerを構成およびデプロイする手順の詳細は、「Anywhere」を参照してください。
MSIジェネレータの使用
このツールを使用すると、Logon Managerのエンド・ユーザーへの一括デプロイメントに使用するカスタム.MSIファイルを作成できます。
このツールにアクセスするには、「Tools」メニューから「Generate Customized MSI」を選択します。
|
|
このツールを使用する前に、この項に加えて、一括デプロイメントのためのLogon Managerのパッケージ化の説明について、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドの付録を参照することを強くお薦めします。
|
.MSIの生成プロセスには次の3つのステージがあります。
1. Base MSI Selection: ベースMSIファイルを選択します。
2. . カスタムMSIファイルに含める機能を選択します。
3. . 含めるグローバル・エージェント設定ファイルおよび出力ファイルの場所を選択します。
Base MSI Selection
このツールを開くと、左側のペインで「Base MSI Selection」ステージが選択されています。その他のすべてのステージは、ベースMSIファイルが選択されるまで使用できません。
1. 「Path」フィールドで「Browse …」をクリックしてMSIファイルにナビゲートし、「Open」をクリックします。無効なMSIファイルを選択した場合は、MSIファイルのオープンに失敗したことを示すメッセージが表示されます。
2. 「Next >」をクリックするか、左側のペインで?ステージを選択します。
MSI機能の選択
「Feature Selection」ステージは、有効なMSIファイルの選択後、使用可能になります。機能はツリー構造で表示されます。
選択を行い、「Next >」をクリックするか、左側のペインで「New MSI Generation」ステージを選択します。
チェック・ボックスには次の3つの状態があります。
・ 選択解除: 親ノードにチェックがない状態は、どの子ノードも選択されていないことを示します。その逆も同様で、どの子ノードも選択されていない場合、親ノードの選択は解除されています。
・ 不完全なチェック: いずれかの(すべてではない)子ノードが選択されている場合、親の不完全なチェックの状態でこれが表されます。親ノードの不完全なチェックは、デフォルト以外の子ノードが少なくとも1つ選択されていることを示します。
・ 選択: 親が選択されている場合は、その子もすべて選択されています。その逆も同様で、すべての子が選択されている場合は、親も選択されています。
インストーラで必要な、変更不可のデフォルト項目がリストに存在する場合があります。これの例は、Logon Manager MSIファイルの「Languages」ノードの「English」項目です。英語はデフォルト言語としてインストールされます。デフォルト項目はチェック・ボックスの状態には影響せず、選択できません。
新しいMSIの生成
「New MSI Generation」ステージは、有効なMSIファイルの選択後、使用可能になります。このステージでは、グローバル・エージェント設定、およびMSIファイルの出力場所を選択します。
1. MSIファイルにグローバル・エージェント設定ファイルを含める場合は、そのファイルを「Global Agent Settings」ドロップダウン・ボックスから選択します。グローバル・エージェント設定ファイルを含めない場合は、デフォルトの選択の「<None>」をそのまま使用できます。
2. 「Output MSI」フィールドで「Browse (…)」ボタンをクリックします。有効なパスを選択し、出力するMSIファイルのファイル名を入力します。「Save」をクリックします。無効なパスまたは名前を入力した場合は、出力するMSIファイルの名前が無効であることを示すメッセージが表示されます。
3. 「Generate」をクリックします。ファイルが保存されたことを示すメッセージが表示されます。「OK」をクリックします。
|
|
エラーが発生した場合は、有効なパスおよびファイル名を入力していることを確認します。
|
テストおよびエンド・ユーザーへのデプロイ
MSIファイルを十分にテストして確認したら、デプロイメント・ツール(Microsoft Systems Management Serverなど)を使用してLogon Managerを企業全体にデプロイします。
|
|
MSIファイルのテストの詳しい説明とベスト・プラクティスは、Oracle Enterprise Single Sign-On Suiteリリース・ノートの付録を参照してください。
|
Kiosk Managerの使用
Kiosk Managerは、キオスク環境における従来のシングル・サインオンのニーズに応えるため、安全かつ使いやすく、管理が簡単なソリューションを提供します。Kiosk Managerには、Windowsパスワードまたは任意のサポートされているプライマリ・オーセンティケータを使用したログオンをユーザーに要求することにより、キオスクに対してユーザーの識別情報を提供する、クライアント側エージェントがあります。このエージェントは、セッションを一時停止またはクローズしたり、一定期間アクティブでないすべてのアプリケーションをシームレスに停止します。
|
|
Kiosk Managerでは、Sticky Notesはサポートされていません。
|
この項では、次のトピックについて説明します。
・ イベントおよびアクション
・ Desktop Managerについて
・ Desktop Managerのカスタマイズ
・ デスクトップ・ステータス・ウィンドウ
・ キャッシュされた資格証明
・ 透過的な画面ロック
・ 厳密認証の構成
・ イベントおよび監査ログ
・ エージェントのバイパス
・ エージェントを閉じる
・ 信頼の設定
・ Kiosk ManagerとAuthentication Managerに対する認証
・ Password Resetへのリンク
・ コマンドライン・オプション
・ .NET API
・ ベスト・プラクティス
Kiosk ManagerおよびOracle Enterprise Single Sign-On Administrative Consoleの使用方法
Oracle Enterprise Single Sign-On Administrative Consoleを、Kiosk Managerのセッション・エージェントと同時に実行することはできません。Administrative Consoleの実行中にこのセッション・エージェントを起動すると「Cannot run Kiosk Manager until Administrative Console is closed.」というエラー・メッセージが表示されます。
Kiosk Managerを実行しているワークステーションでは、Administrative Consoleを使用しないことをお薦めします。
イベントおよびアクション
次の概要ではKiosk Managerセッションの機能について説明します。
イベントのタイプ
Kiosk Managerは、Logon Managerがサポートするすべての種類のオーセンティケータで、次のイベントを任意に組み合せてアクションを実行するように構成できます。
・ After Session Unlocked
・ AM Device In
・ AM Device Out
・ AM Grace Period
・ Authenticator Logon
・ Authenticator Timeout
・ Before Session Unlocked
・ Cached Credential Session Start
・ Session End
・ Session Locked
・ Session Start
・ Timer Expired
・ Transparent Screen Displayed
・ Transparent Screen Hidden
・ User Change
イベントとアクション・リスト
前述のイベントに基づいて、Kiosk Managerは、指定された終了リストの実行、実行リストを使用したカスタム・タスク(.NETアプリケーションまたはスクリプト)の起動、または特別なアクションの指定を行うことができます。
・ 終了リスト。指定されたイベントの発生時にKiosk Managerによって閉じるアプリケーションのリストです。(旧称ブラック・リストまたはセッション終了時に閉じるアプリケーション。)
・ 実行リスト。指定されたイベントの発生時に、コールする.NET APIか、Kiosk Managerによって実行するコマンドラインのスクリプトです。
・ 特別アクション・リスト。特別アクション・リストは、アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定します。
イベントおよびアクション・リストの構成
これらの機能は、Logon Manager Administrative Consoleを使用して、「Kiosk Manager」→「Actions」および「Session States」で構成します。
・ アクションは、.NETメソッドの呼び出し、特定アプリケーションの終了など、なんらかの処理を実行するようにKiosk Managerに指示します。
・ セッション・ステートは、アクションに関連付けるイベント、オーセンティケータ、セキュリティの設定のリストです。たとえば、定義したセッション・ステートによって、セッションの終了時にこのアクションのリストを実行するように、Kiosk Managerに指示できます。
構成する手順については、次の項を参照してください。
・ アクション・リストの作成
・ セッション・ステートの作成
アクション・リストの作成
アクションは、.NETメソッドの呼び出し、特定アプリケーションの終了など、なんらかの処理を実行するようにKiosk Managerに指示します。
アクション・リストは次のように作成します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. 「Kiosk Manager」ノードを展開します。
3. 「Actions」をクリックします。
4. 「Add」をクリックするか、右クリックして「New Action」を選択します。
5. 「Name」に名前を入力し、「List Type」を選択します。完了したら「OK」をクリックします。アクション・リストには次の3種類があります。
・ 終了リスト
終了リストは、セッション終了時にKiosk Managerによって閉じるアプリケーションのリストです。
・ 実行リスト
実行リストは、コールする.NET APIか、Kiosk Managerによって実行するコマンドラインのスクリプトです。
・ 特別アクション・リスト
特別アクション・リストは、アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定します。
|
|
これらのリストを作成するための設定方法の詳細は、特定のリストの項を参照してください。
|
アクション・リストを作成する別の方法を、次に示します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
3. セッション・ステートを選択して、「Actions」タブを選択します。
4. 「Add」をクリックします。
終了リストの作成および使用
終了リストは、セッション終了時にKiosk Managerによって閉じるアプリケーションを指定するために使用します。
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開し、「Actions」を選択します。
2. 任意の終了リストをクリックします。
コントロール
|
AppPathKeys
|
実行中のプロセスと照合するために、このログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前)
|
|
Window Titles
|
ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。
|
|
Process Termination Type
|
セッション終了時に閉じるアプリケーションの終了方法を選択します。
・ Keystroke Sequence
・ .NET SendKeys
・ SendKeys:キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
・ SendKeys using Journal Hook:ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
o プロセス終了リクエスト
o プロセス終了
|
|
一連のキーストロークを使用してアプリケーションを終了すると、エンド・ユーザーの画面でちらつきが発生します。このちらつきは、アプリケーションの終了にsendkeysを使用しているために発生します。
|
|
|
Disabled
|
このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持できます。これによって、引き続き設定を参照でき、他のリストでその設定を使用することもできます。
|
アプリケーションを終了させるためのKiosk Managerの構成
1. 「AppPath Keys」ボックスで、「Add」をクリックします。「Process Path Key」ダイアログ・ボックスが表示されます。
2. 有効なアプリケーション・キー(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
3. セッション終了時に終了するアプリケーションのリストに、アプリケーションが追加されました。セッション終了時にKiosk Managerによってこれらのアプリケーションが終了されます。
4. このリストのアプリケーションを変更または削除するには、「Edit」ボタンおよび「Delete」ボタンを使用します。
5. 「Window Titles」ボックスで、「Add」をクリックします。「Windows Title」ダイアログ・ボックスが表示されます。
6. 有効なウィンドウ・タイトルを入力します。「OK」をクリックします。
照合するウィンドウ・タイトルの指定
1. 正確なウィンドウ・タイトルを入力(または編集)します。
2. 「OK」をクリックします。
実行リストの作成および使用
このパネルを使用して、コールする.NET APIか、Kiosk Managerによって実行するコマンドラインのスクリプトを定義します。
1. 「Kiosk Manager」ノードを展開し、「Actions」を選択します。
2. 「Run list」を選択します。
コントロール
|
.NET API
|
Assembly
|
省略記号「…」ボタンをクリックして、使用する.NETアセンブリを検索します。アセンブリがロードされます。
|
|
Class
|
ドロップダウン・ボックスを使用して、.NETクラスを選択します。選択されたアセンブリで使用可能な.NETクラスがリストされます。
|
|
Method
|
ドロップダウン・ボックスを使用して、コールするメソッドを選択します。選択されたクラスで使用可能な.NETメソッドがリストされます。メソッドは次のシグネチャにかぎられ、パラメータをとったり、値を戻すことはありません。
void MethodName();
スクリプトとは異なり、メソッドが戻るまで処理は続行されません。
|
|
サンプル.NET APIを表示するにはここをクリックしてください。
|
|
.NET APIコールは同期されます(Kiosk Managerはコールが完了するまで待機します)。
|
|
|
Script
|
実行するKiosk Managerのコマンドライン・スクリプトを入力します。このリストに複数のコマンドが含まれる場合は、前のタスクが完了するまで待たずに、また前のタスクのリターン・コードを確認せずに各行が開始します。
|
|
コマンドライン・コールは非同期です(Kiosk Managerを含む他のタスクとパラレルに実行されます)。
|
|
|
Disabled
|
このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持できます。これによって、引き続き設定を参照でき、他のリストにその設定をコピーすることもできます。
|
特別アクション・リストの作成および使用
特別アクション・リストは、アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定するために使用されます。
アプリケーション・ウィンドウが特別アクション・リストに表示されない場合は、非表示になります。
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開し、「Actions」を選択します。
2. 任意の特別アクション・リストをクリックします。
コントロール
|
AppPathKeys
|
実行中のプロセスと照合するために、このログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前。)
|
|
Window Titles
|
ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。
|
|
Reposition Application
|
この設定およびその下のものにより、アプリケーションの位置を指定できます。このチェック・ボックスの状態によって、その下にリストされているアクションをアプリケーション・ウィンドウに適用するかどうかが決定されます。
オプション:
・ Maximize
・ Minimize
・ Restore
・ Move to。アプリケーションの位置の座標を入力します。
・ Resize。アプリケーションの位置の幅と高さを入力します。
|
|
Sort Order
|
この設定によって、特別なアクションが実行される順番が決定します。これによって、複数のウィンドウの位置が変更されたときに、優先ウィンドウを最前面にして、前面に表示するウィンドウを特定の順番で表示できるようになります。
|
|
Bring to foreground
|
この設定によって、アプリケーション・ウィンドウが常にアプリケーション・ウィンドウの順番の先頭になります。
|
|
Shared Application
|
このボックスをチェックすると、ユーザー・セッション間でアプリケーションを共有できるようになります。たとえば、Notepad.exeが共用アプリケーションとして指定され、user1がノートパッドでドキュメントを開いた後、セッションをロックすると、user2がセッションを開始するとき、ノートパッドは実行していることになります。その後、user2がノートパッドを閉じ、セッションをロックする場合、user1が再度ログオンしたとき、ノートパッドは実行していません。
|
|
Disabled
|
このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持できます。これによって、引き続き設定を参照でき、他のリストでその設定を使用することもできます。
|
アプリケーションの構成
1. 「AppPath Keys」ボックスで、「Add」をクリックします。「Process Path Key」ダイアログ・ボックスが表示されます。
2. 有効なアプリケーション・キー(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
3. セッション終了時に終了するアプリケーションのリストに、アプリケーションが追加されました。セッション終了時にKiosk Managerによってこれらのアプリケーションが終了されます。
4. このリストのアプリケーションを変更または削除するには、「Edit」ボタンおよび「Delete」ボタンを使用します。
5. 「Window Titles」ボックスで、「Add」をクリックします。「Windows Title」ダイアログ・ボックスが表示されます。
6. 有効なウィンドウ・タイトルを入力します。「OK」をクリックします。
照合するウィンドウ・タイトルの指定
1. 正確なウィンドウ・タイトルを入力(または編集)します。
2. 「OK」をクリックします。
Kiosk Managerのセッション・ステート
このパネルには、既存のセッション・ステートのリストが含まれます。セッション・ステートとは、アクションに関連付けるイベントのリストです。たとえば、定義済のセッション・ステートは、セッション終了時に特定のアクション・リストを実行するようにKiosk Managerに指示します。
セッション・ステートの作成
1. Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. 「Kiosk Manager」ノードを展開します。
3. 「Session States」をクリックします。
4. 「Add」をクリックするか、右クリックして「New Session State」を選択します。
5. 「Session State Name」にセッション・ステート名を入力し、「OK」をクリックします。
6. 新しいセッション・ステートが作成されます。各セッション・ステートには、次に示す、関連する4つのタブがあります。
・ 「Events」タブ
・ 「Authenticators」タブ
・ 「Actions」タブ
・ 「Security」タブ
セッション・ステートのコピー
・ セッション・ステートを選択します。
・ 「Make Copy」を右クリックして、セッション・ステートのコピーを作成します。名前を変更するには、左側のペインでセッション・ステートを右クリックし、「Rename」をクリックします。左側のペインでセッション・ステートを右クリックして、「Copy」をクリックしても、コピーを実行できます。
セッション・ステートの削除
1. 「Delete」をクリックして、セッション・ステートを削除します。セッション・ステートが削除される前に、確認メッセージが表示されます。
2. 「Kiosk Manager」ノードを展開します。
3. 削除するセッション・ステートを右クリックします。
・ ポップアップ・メニューから「Delete」を選択します。
または
・ コンテキスト・メニューから「Edit」を選択します。
・ 「Delete」を選択します。
セッション・ステート・イベントの選択
「Events」タブには、Kiosk Managerが応答できるすべてのイベントのリストと、カスタム・イベントを追加するオプションが含まれます。リストされている各イベントの隣にはチェック・ボックスがあり、チェックされていれば、このイベントが発生したときに、関連付けられたアクション・リストを実行することを示します。新しいセッション・ステートが作成されると、「Session End」がデフォルトでチェックされています。
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
イベントの作成には2つの方法があります。
・ このセッション・ステートに対して事前定義されたイベントを選択します。
または
・ 「Add」ボタンをクリックして、独自のカスタム・イベントを作成します。「Edit」ボタンを使用してカスタム・イベント名を編集し、「Delete」ボタンを使用してカスタム・イベントを削除します。
次の図は使用可能な事前定義されたイベントを表しています。
事前定義されたイベントの選択
「Events」タブで、次から選択します。
・ After Session Unlocked
このイベントは、認証が行われた後にセッションをロック解除したときに実行されます。認証が取り消されると、このイベントはトリガーされません。
・ AM Device In
このイベントは、SSOデバイス・モニターが有効で、監視対象のオーセンティケータが検出された場合(たとえば、スマート・カードが挿入されたり、生態認証装置が監視範囲内にある場合)にトリガーされます。
・ AM Device Out
このイベントは、SSOデバイス・モニターが有効で、監視対象のオーセンティケータが検出された場合(たとえば、スマート・カードが取り外されたり、生態認証装置が監視範囲からなくなった場合)にトリガーされます。このイベントは、次の場合にトリガーされます。
・ セッションは開いているか、ロックされている
・ 「Device-In」イベントがセッションを開始した
・ AM Grace Period
このイベントは、猶予期間ファンクションを使用するオーセンティケータが使用されている場合に、その猶予期間内にユーザーがオープン・セッションに戻るとトリガーされます。
・ Authenticator Logon
このイベントは、オーセンティケータがログオンを受け入れたときに発生します。 たとえば、WinAuthの正しいパスワードまたはスマート・カードの正しいPINが入力されたときです。
・ Authenticator Timeout
このイベントは、Logon Managerの内部タイマーの有効期限が切れたときにトリガーされます。
・ Before Session Unlocked
このイベントは、ユーザーがセッションをロック解除した後、認証が行われる前にトリガーされます。
・ Cached Credential Session Start
このイベントは、セッションが開始し、ローカル・コンピュータに格納された資格証明をユーザーがキャッシュ済の場合にトリガーされます。
・ Session End
このイベントは、セッションが終了してタイマーの期限が切れたとき、または別のユーザーがセッションを開始したときにトリガーされます。
・ Session Locked
このイベントは、ユーザーがシステム・トレイから手動でセッションをロックしたときにトリガーされます。
・ Session Start
このイベントは、ユーザーが新しいセッションを開始したときにトリガーされます。
・ Time Expired
このイベントは、ロックされたセッションのタイマーが00:00:00になったときにトリガーされます。
・ Transparent Screen Displayed
このイベントは、透過的ロックが開始され、画面がロック・モードでユーザーに表示されたときにトリガーされます。
・ Transparent Screen Hidden
このイベントは、透過的ロックが終了したときに発生します。
・ User Change
このイベントは、ユーザーがKiosk Managerにログインしたときにトリガーされます。このイベントは、.NETオブジェクトに次の2つのプロパティを設定します。プロパティが存在しない場合は何も発生しません。
o UserName。 syncユーザー名。
o DomainName。syncドメイン名。
|
|
Authentication Managerイベントは、イベント・タイプを示すKiosk Managerにオーセンティケータによってメッセージが送信されたときに実行されます。
|
カスタム・イベントの追加
カスタム・イベントを追加するには、「Events」タブで「Add」ボタンをクリックします。「Custom Event」ダイアログが表示されます。
1. 「Event Name」を入力します。このイベント名が表示されます。
2. 「Event Value」を入力します。外部アプリケーションによってカスタム・イベントが生成され、メッセージがKiosk Managerの非表示ウィンドウに送信されます。値は他のアプリケーションが送信するカスタム値です。
3. 「OK」をクリックします。カスタム・イベントが作成されます。
セッション・ステート・オーセンティケータの選択
「Authenticators」タブには、カスタム・オーセンティケータを追加するためのオプションの他に、Logon Managerがサポートするすべてのオーセンティケータのリストも含まれます。各オーセンティケータの隣にはチェック・ボックスがあり、チェックされていれば、選択されたイベントが発生したときや、選択されたオーセンティケータでユーザーが認証されたときに、関連付けられたアクション・リストを実行することを示します。
新しいセッション・ステートが作成されると、すべてのオーセンティケータはデフォルトでチェックされています。
オーセンティケータの選択には2つの方法があります。
・ 「Add」ボタンをクリックして、独自のカスタム・オーセンティケータを作成します。「Edit」ボタンを使用してカスタム・イベント・オーセンティケータを編集し、「Delete」ボタンを使用してカスタム・オーセンティケータを削除します。
・ このセッション・ステートに対して事前定義されたオーセンティケータを選択します。使用可能なオーセンティケータは次のとおりです。
o Authentication Manager
o Entrust
o LDAP
o LDAP v2
o 近接型カード
o 読取り専用スマート・カード
o SecurID
o スマート・カード
o Universal Authentication Manager
|
|
Kiosk Managerは、Windows LogonまたはWindows Logon v2はサポートしていません。
Kiosk ManagerでUniversal Authentication Managerオーセンティケータを使用するように構成するには、トークン・イベント用にブロードキャスト/監視を実行するようにKiosk Managerを設定する必要があります。これには、次のレジストリ・キーの値を2 (Always)に設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\SM\Agent
|
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
3. セッション・ステートを選択して、「Authenticators」タブを選択します。
カスタム・オーセンティケータの追加
カスタム・オーセンティケータを使用すると、そのオーセンティケータに基づいてイベントをフィルタリングできます。カスタム・オーセンティケータを追加するには、「Authenticators」タブで「Add」ボタンをクリックします。「Custom Authenticator」ダイアログ・ボックスが開きます。
1. 「Authenticator Name」を入力します。このオーセンティケータ名が表示されます。
2. 「Authenticator Value」を入力します。オーセンティケータの値は、コード内でオーセンティケータを識別できる名前です。オーセンティケータ自体から導出される名前にします。たとえば、Windows Authenticator v2の値がMSAuth、Smart Cardの値がSCAuthなどです。
3. 「OK」をクリックします。
このダイアログ・ボックスを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
3. セッション・ステートを選択して、「Authenticators」タブを選択します。
4. 「Remove」または「Edit」をクリックします。
「Actions」タブを使用したセッション・ステートの追加
「Actions」タブには、特定のセッション・ステートに関連付けられているすべてのアクションのリストが含まれます。新しく作成されたセッション・ステートの場合、このパネルは空です。アクションをセッション・ステートに関連付けた後は、アクションがこのパネルに表示されます。
このパネルを使用して、アクションを作成、編集、関連付け、編集および削除します。
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
3. セッション・ステートを選択して、「Actions」タブを選択します。
「Actions」タブを使用するには、次の手順を実行します。
・ 新しいアクション・リストを定義するには、「Add」をクリックします。アクション・リストには、終了リストと実行リストの2種類があります。このパネルから作成した新しいアクションは、このセッション・ステートに自動的に追加されます。
・ 定義したアクションをこのセッション・ステートに関連付けるには、「Associate」をクリックして、リストからアクションを選択します。
・ アクションを変更するには、選択して「Edit」をクリックします。
・ セッション・ステートからアクションを削除するには、「Delete」をクリックします。これによって、アクション・リストからではなく、現在のセッション・ステートからアクションが削除されます。
アクションの関連付け
「Select Actions」ダイアログを使用して、このセッション・ステートに関連付ける1つ以上のアクションを選択します。
このセッション・ステートに追加するアクションを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックします。
|
|
アクションがこのセッション・ステートに関連付けられていて、新しいアクションを追加する場合は、すべてのアクションを再度選択する必要があります。そうしないと、これまでのアクション・リストは新しく選択されたアクションで置き換えられます。
|
セッション・ステートのセキュリティの構成
「Security」タブを使用して、このセッション・ステートへのアクセス権を設定します。次のアイテムへのアクセス権を割り当てることができます。
・ アプリケーション・ログオン(関連付けられた資格証明共有グループを含む)
・ パスワード生成ポリシー
・ グローバル・エージェント設定
・ パスフレーズ質問セット
|
|
セキュリティ・タブは、「Role/Group Security」が有効な場合にのみ使用できます。
|
コントロール
|
Directory
|
ターゲット・ディレクトリ・サーバーを選択します。
|
|
アクセス情報
|
|
名前
|
対象となっているセッション・ステートに現在アクセスできるグループまたはユーザーが表示されます。
|
|
ID
|
ユーザー・アカウント名。
|
|
Access
|
ユーザーまたはグループが、現在選択しているセッション・ステートに対して読取り/書込みアクセス権を持つのか、または読取り専用アクセス権を持つのかを示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Read」または「Read/Write」を選択します。
|
|
アクション
|
|
Add
|
「Add User or Group」ダイアログ・ボックスを表示して(LDAPまたはActive Directoryの場合)、現在選択されているセッション・ステートにアクセスする必要があるユーザーまたはグループを選択します。
|
|
Remove
|
選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
|
このタブを表示するには、次の手順を実行します。
1. 「Kiosk Manager」ノードを展開します。
2. 「Session States」をクリックします。
3. セッション・ステートを選択して、「Security」タブを選択します。
Desktop Managerについて
Desktop Managerは、キオスクでKiosk Managerセッションを管理するログオン・ダイアログです。エンド・ユーザーは、このダイアログでセッションの開始とロック解除を実行できます。管理者は、セッションの終了、コンピュータの停止、コンピュータの再起動、Kiosk Managerの終了を実行できます。
|
|
Desktop Managerは、Oracle Enterprise Single Sign-On Administrative Consoleを使用して、「Global Agent Settings」→「Kiosk Manager」で構成します。次の各項では、これらの設定を構成するために必要なすべての情報を示します。
|
「Administration」メニュー
「Administration」メニューはDesktop Managerの上部にあります。
このメニューを構成するために使用する設定は次のとおりです。
・ Restart Computer。 オプションは、「Yes」、「No」、または「Administrator must supply password」です。デフォルトは「No」です。
・ Shutdown Computer。 オプションは、「Yes」、「No」、または「Administrator must supply password」です。デフォルトは「No」です。
・ Allow administrator to closeKiosk Manager。 オプションは、「Yes」または「No」です。デフォルトは「Yes」です。「Exit Kiosk Manager」オプションと、タイトル・バーの「X」を制御します。
|
|
キオスク・アカウントに十分な権限がない場合、「Restart Computer」および「Shutdown Computer」オプションを無効にしても機能しないことがあります。
|
セッションの終了
管理者にセッションを閉じる権限を付与することに加えて、その他のセッション終了設定を構成できます。これらの設定の構成については、「Global Agent Settings」→「Kiosk Manager」を参照してください。
開いているセッション(複数セッション)
デスクトップ・マネージャには、開いているすべてのセッションが表示されたリストが含まれます。一度に複数のセッションを実行できます。セッションには最大数はありません。これらの設定の構成については、「Global Agent Settings」→「Kiosk Manager」を参照してください。
透過的な画面ロック
透過的な画面ロックは、表示モードでデスクトップ入力(キーボードおよびマウス)をロックする機能を提供するため、たとえば、セッションを開始することなく監視アプリケーションの表示が可能です。これは、スクリーン・セーバー機能と似ています。Kiosk Managerが透過的なロックを起動したとき、デスクトップとデスクトップ上のアプリケーションは、引き続きモニター上にリアルタイムに表示されます。
透過的なロックは、デフォルトでは無効になっています。
複数のセッションを実行している場合、透過的なロックが機能すると、最後にアクティブなセッションが表示されます。
アプリケーションの優先度と位置は、特別アクション・リストで構成できます。
透過的なロック・イベントは、「Session States」セクションの「Events」パネルで設定します。
・ Transparent Screen Displayed
このイベントは、透過的ロックが開始され、画面がロック・モードでユーザーに表示されたときにトリガーされます。
・ Transparent Screen Hidden
このイベントは、透過的なロックが非表示になったときに発生します。
透過的なロックは次の方法で起動します。
・ タイムアウト
・ 認証の取消(「Transparent Display After Cancel」を「Enable」に設定した場合のみ)。
透過的なロックの実行中にセッションを開始するには、マウスを動かすか任意のキーボード・ボタンをクリックします。「Transparent Only Recognize Ctrl-Alt-Delete」を「Enable」に設定した場合、ユーザーは[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックして透過的なロックを解除する必要があります。
|
|
透過的な画面ロックは、Oracle Enterprise Single Sign-On Administrative Consoleを使用して、「Global Agent Settings」→「Kiosk Manager」→「User Interface」パネルで構成します。
|
セッションの終了
管理者は、「Administration」メニューから「Terminate Sessions」をクリックして、デスクトップ・マネージャからKiosk Managerユーザー・セッションを終了できます。このメニュー・オプションは構成できません。
クリックすると、このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示されます。
資格証明を入力すると、「Terminate Sessions」ダイアログが表示されます。
一度に選択できるセッションは1つのみです。「Cancel」または「X」をクリックしてこのダイアログを閉じます。
Kiosk Managerがセッション切替え時に実行中のアプリケーションを処理する方法
Kiosk Managerは、セッションをロックおよび終了するときに、次のようにアプリケーションおよびそれらのウィンドウを処理します。
・ セッションがロックされると、表示されているウィンドウのそれぞれが終了リストに含まれているかどうかKiosk Managerによってチェックされます。ウィンドウが終了リストに含まれている場合、Kiosk Managerによって非表示にされます(または、ウィンドウがトレイに属している場合、トレイに最小化されます)。それ以外の場合、ウィンドウは表示されたままになります。ウィンドウの親アプリケーションは、そのセッションが終了するまで終了されません。
|
|
アプリケーションが"SpecialAction_SharedApp"リストに含まれている場合、そのウィンドウは非表示になりません。
|
・ セッションが終了されると、表示されているウィンドウのそれぞれが終了リストに含まれているかどうかKiosk Managerによってチェックされます。ウィンドウが終了リストに含まれている場合、その親アプリケーションが終了されます。ウィンドウが非表示である場合、そのウィンドウ・プロセスは終了しています。
|
|
アプリケーションが"SpecialAction_SharedApp"リストに含まれている場合、そのアプリケーションに対して指定されているアクションは、セッションが終了するときに実行されます。
|
Desktop Managerのカスタマイズ
Desktop Managerはいくつかの方法でカスタマイズできます。各オプションの詳細は、次の項を参照してください。
・ カスタム・ユーザー・インタフェースの一般オプション。「Global Agent Settings」→「Kiosk Manager」→「User Interface」を参照してください。
・ ログオン・ダイアログの周囲へのカスタム・テキスト・メッセージの追加。「Global Agent Settings」→「Kiosk Manager」→「Adding a Customized Message to the Desktop」を参照してください。
・ ログオン・ダイアログの周囲のバックグラウンド・イメージのアップロード。「Global Agent Settings」→「Kiosk Manager」→「Setting the Background Image」を参照してください。.
・ ログオン・ダイアログ上のOracleとKiosk Managerのロゴ・バナーの置換。 バックグラウンド・イメージとして会社のロゴを表示するか、またはユーザーに重要な情報を知らせる重要なカスタム・テキスト・メッセージを表示することを選択できます。
ログオン・ダイアログのロゴ・バナーを置換する方法と、カスタマイズしたデスクトップの例については、次の項で説明します。
ロゴ・バナーの置換
Desktop Managerのログオン・ダイアログ上のOracle Kiosk Managerロゴ・バナーは、手動の手順で変更できます。ロゴを置換するには、次の手順を実行します。
1. SMAgent.exeホーム・ディレクトリに「branding」フォルダを作成します。
2. brandingフォルダにbanner.gifという名前でカスタマイズ済ロゴ・バナーを配置します。
3. カスタマイズ済バナーは、次回のKiosk Managerの起動時に表示されます。
カスタマイズしたバックグラウンド・イメージとテキスト・メッセージの例
800×600表示のカスタマイズしたバックグラウンド・イメージの例
このスクリーン・ショットは、Desktop Managerログオン・ダイアログの水平および垂直ディメンションと、位置の設定に使用した座標とディメンションを示しています。
800×600表示のカスタマイズしたテキスト・メッセージの例
このスクリーン・ショットは、テキスト・メッセージの例を示しています。このテキスト・メッセージは、このスクリーン・ショットに表示されているように、テキスト・メッセージのカスタマイズに使用する値を表示します。
この画面の上部には、テキスト・メッセージの生成に使用する実際の値が表示されています。
デスクトップ・ステータス・ウィンドウ
デスクトップ・ステータス・ウィンドウは、Kiosk Managerセッション中に表示される小さいウィンドウです。現在の所有者の名前を表示し、セッションをロックできる、便利なウィンドウです。有効にすると、セッション中、デフォルトでデスクトップの右上隅に表示されます。
デスクトップ・ステータスは、デフォルトでは非表示です。デフォルト値は実行時に計算されます。このウィンドウは、ディスプレイの右上隅の、ウィンドウの端と画面の物理的な端との間に10ピクセルで表示されます。ウィンドウの外観と位置をカスタマイズする方法については、「Global Agent Settings」→「Kiosk Manager」→「User Interface」を参照してください。
イベントおよび監査ログ
Kiosk Managerは、エージェント・イベントのログをローカル・マシンのWindowsイベント・ビューアに記録します。この機能はデフォルトで有効です。Kiosk Managerのログ記録されるイベントのリストについては、次の「イベント・ログ・メッセージ」の項の表を参照してください。
Kiosk Managerは、イベントのログを、ローカル・キオスク・マシンまたはリモート・マシンのSyslogサーバー・アプリケーションに記録することもできます。
Syslogアプリケーションを使用してローカルまたはリモートのマシンのKiosk Managerイベントを参照するには、次の手順を実行します。
キオスクでのLogon Manager Agentの使用
|
|
この手順は、Kiosk Managerをインストールする前に実行する必要があります。
|
1. 「コントロール パネル」の「プログラムの追加と削除」を起動します。
2. 「Oracle Enterprise Single Sign-On Logon Manager」をクリックし、「変更」をクリックします。
3. 「Program Maintenance」パネルで「Modify」を選択します。
4. 「Custom Setup」パネルで、「Extensions」を展開し、「Event Manager」を展開します。
5. 「Syslog」のインストールを選択します。
6. プロンプトに従ってSyslogのインストールを完了します。
Oracle Enterprise Single Sign-On Administrative Consoleの使用
1. Oracle Enterprise Single Sign-On Administrative Consoleを開き、「Global Agent Settings」→「Audit Logging」→「Syslog Server」の順に展開します。
2. 使用する環境にあわせて、ターゲットSyslogマシンの設定を構成します。リモート・マシンにログを記録する場合は、「Destination Host」設定でリモート・マシンのホスト名またはIPアドレスを指定します。
3. 「Global Agent Settings」→「Kiosk Manager」に移動します。「Audit Logging Section」で、「Event Log Name」および「Event Log Machine Name」を入力します。
イベント・ログ・メッセージ
次に、アプリケーションのイベント・ビューアに現在記録されているメッセージのリストを示します。
|
Message
|
メッセージの説明(該当する場合)
|
|
User session started: domain/username
|
ユーザー・セッションの開始時。
|
|
User session ended: domain/username
|
ユーザー・セッションの終了時。
|
|
User session locked: domain/username
|
セッションのロック時。
|
|
User session unlocked: domain/username
|
セッションのロック解除時。
|
|
Process action: action type, action name
|
(IE、Terminate list、notepad_close)
これはリポジトリのセッション・アクションに対応します。アクションに、これをトリガーする対応する状態がない場合、イベント・ビューアでログ記録されたアクションを見ることはありません。
|
|
Process state: state name, event GUID
|
(IE、Session_locked、{6D5B7645-25A5-42f3-B641-BFE4DC4F774C})
これはリポジトリのセッション・アクションに対応します。ログ・エントリは、セッション・ロックなど、状態がトリガーされた場合にのみ生成されます。コンソールから状態を表示した場合、GUIDはこの状態のGUIDに対応します。たとえば、透過的なロックのリポジトリに状態があっても、透過的なロックをオンにしていなければ、ログ記録されたイベントを見ることはありません。
|
|
Transparent lock screen DISPLAYED
|
透過的なロックの表示時。
|
|
Transparent lock screen HIDDEN
|
透過的なロックの非表示時。
|
|
Method Invocation: file path/file name, method name
|
実行リストの.Net APIアセンブリの名前と方法に対応します。
|
|
Run list command: command name
|
実行リストのスクリプト・コマンドに対応します。
|
|
The following applications were not terminated:
|
これは、終了リストに指定されていて、終了していないアプリケーションのログのみを記録します。
|
|
Kiosk Manager STARTED
|
Kiosk Managerの起動時。
|
|
Kiosk Manager SHUTDOWN
|
Kiosk Managerの停止時。
|
|
Successfully closed: Application name
|
終了リストの3つの終了方法(一連のキーストローク、終了リクエスト、プロセス終了)のすべてに適用されます。
このイベントは、終了リストのアプリケーションが終了されたときログに記録されます。終了リストに指定されていないアプリケーションが終了しても、ログは生成されません。
|
Kiosk Manager Agentのバイパス
必要に応じて、キオスクの起動時にKiosk Manager Agentをバイパスできます。
[Shift]キーを押しながらコンピュータにログインすると、Kiosk Manager Agentは起動しません。
Kiosk Manager Agentを閉じる
必要に応じて、次の手順を実行して、キオスクでKiosk Manager Agentを閉じることができます。
・ キーボードで[Alt]+[F4]を押します。
・ Desktop Managerの「Administration」メニューで「Exit Kiosk Manager」をクリックします。
・ ウィンドウ・タイトル・バーの右上にある「X」をクリックします。
管理者は資格証明を入力することを求められます。エージェントを閉じることができるのは、管理者の資格証明だけです。
この機能はデフォルトで無効です。この機能を有効化するには、次の手順を実行します。
1. Logon Manager Administrative Consoleを開き、「Global Agent Settings」→「Kiosk Manager」の順に展開します。
2. 「Allow administrator to close Kiosk Manager」設定を選択します。
3. 「Yes」を選択します。
信頼の設定
Kiosk Managerには、アプリケーションがKiosk Managerの認証を信頼して、ログオンしているユーザーの名前を取得できるようにする機能があります。Kiosk Managerは、次の関数シグネチャによって、SSOUserInfo.dllのパブリック関数を提供します。
extern "C" BOOL _stdcall GetUserId(BSTR* bstr);
パラメータ:
bstr
ユーザー名を取得して格納するオブジェクトです。
戻り値
関数が成功し、ユーザーが現在ログインしている場合はTRUEを戻します。
関数が失敗した場合はFALSEを戻します。詳細は、GetLastError()を使用して参照してください。
関数が成功すると、「DomainName\UserName」としてユーザー名が戻されます。
|
|
Kiosk Managerを設定して、ユーザーがセッションの開始に成功した後にコマンドラインを実行するか.NETメソッドをコールできます。このメカニズムを利用して、他のアプリケーションをトリガーし、Kiosk Managerからログオンしているユーザーの名前をリクエストすることができます。
|
MacListenerユーティリティを使用した、介護士の可動性およびOracle VDIセッションのサポートの実現
MacListenerユーティリティを利用すると、Kiosk Managerを介護士の可動性およびOracle VDI環境とのインタフェースとして、医療の専門家がキオスク・システムにログオンし、キオスク・システムがある場所に関係する患者データやその他の地域リソースなど、場所に固有の情報にアクセスできるようになります。MacListener.exeは、Oracle Enterprise Single Sign-On Suiteによって提供され、このスイートのマスター・アーカイブにある「Logon Manager」フォルダの「Utility」サブフォルダの中にあります。
MacListener.exeはコマンドライン・ユーティリティで、エコー・サーバーをエミュレートします。これには、特定のTCP/IPポートで着信クライアント接続をリスニングして、クライアントのMACアドレスをプレーン・テキスト形式で受信し、クライアントが切断したとき、そのクライアントのMACアドレスを指定されたコマンドの末尾に次に示す形式で追加して実行します。
/MACADDRESS=xx:xx:xx:xx:xx:xx
ここで、xx:xx:xx:xx:xx:xxは、クライアントのMACアドレスです。
MacListener.exeユーティリティを使用するための構文は次のとおりです。
|
パラメータ
|
説明
|
|
/PORT <port_number>
|
着信クライアント接続をリスニングするポート番号を指定します。
|
|
/DEBUG
|
エラー・メッセージを表示します。
|
|
/E <command>
|
クライアントの切断時に実行するコマンド。コマンドの末尾には、クライアントから受信したMACアドレスが次の形式で追加されます。
|
たとえば、次のようにユーティリティを起動します。
MacListener /PORT=8080 /E=C:\Windows\Notepad.exe
MACアドレス12:AB:34:CD:56:EFのクライアントが、ポート8080でこのユーティリティに接続すると、クライアントの切断時にはユーティリティによって次のコマンドが実行されます。
C:\Windows\Notepad.exe /MACADDRESS=12:AB:34:CD:56:EF
厳密認証オプションの構成
設定は、Oracle Enterprise Single Sign-On Administrative Console (「Global Agent Settings」→「Kiosk Manager: Strong authenticator options」の下)で使用でき、Kiosk Managerと厳密なオーセンティケータとの統合方法を構成できます。
これらの設定は、「Global Agent Settings」→「Kiosk Manager」の下の「Kiosk Manager」パネルから手動で構成できます。
厳密な認証のオプションについては、「Global Agent Settings」→「Kiosk Manager」を参照し、Kiosk Managerと Universal Authentication Managerとの統合の詳細は、Universal Authentication Manager管理者ガイドを参照してください。
Password Resetへのリンク
Password Resetへのリンクは、Kiosk Manager Desktop Managerに追加できます。これによって、ユーザーがPassword Resetを使用して自分のキオスク・パスワード(LDAP認証を介したMicrosoft Active Directoryなど)をリセットできます。
このバナーをクリックすると、Password Reset Webインタフェースが起動します。ユーザーは、プロンプトに従い、パスワードをリセットできます。
Password Reset Clientへのリンクは、次のコマンド構文を使用し、DOSコマンドでインストールすることができます。
msiexec /i [/q] c:\ESSO Kiosk Manager 7.000.msi programURLs
/q Quietモード:インストーラのユーザー・インタフェース・メッセージをすべて非表示にします。msiexecについては、http://msdn.microsoft.comでその他のWindowsインストーラのコマンドライン・オプションに関する説明を参照してください。
programURL(必須):
REG_RESETURL=" http://host /vgoselfservicereset/resetclient/default.aspx"
REG_STATUSURL="http://host /vgoselfservicereset/resetclient/checkstatus.aspx"
hostは、サーバー名(またはドメイン名あるいはIPアドレス)およびPassword Resetサービス・ルート・フォルダを保持するフォルダのパスです。
コマンドライン・オプション
コマンドライン・オプションは、非キオスク環境をサポートするために使用可能で、ユーザー・インタフェースを表示せずにKiosk Managerをデスクトップ・マシンで実行できます。
/EVENT <EventName1> [EventName2…]
このオプションは、名前付きイベントをトリガーし、Kiosk Managerはイベントと関連付けられているタスクを実行し、終了します。オーセンティケータ・フィルタは無視されます。
/RUN <ListName1> [ListName2…]
このオプションは、Kiosk Managerをトリガーし、名前付きリスト関連付けられているタスクを実行し、終了します。イベントおよびオーセンティケータ・フィルタは無視されます。
ListNameは、セッション・ステートまたはアクションのいずれかです。
例: “SMAgent /run StartVisualSourceSafe”
|
|
空白を含むSessionActionまたはSessionState名は、二重引用符で囲む必要があります。
一部のコマンドライン・オプションでは、他のユーザーの作業を妨げる場合があります。たとえば、 /RUNコマンドでは複数のリストを実行します。コマンドラインに/LOCKが表示されると、セッションはロックされ、 /LOCKの前に表示されたすべてのオプションを含む残りのコマンドラインは無視されます。
/SHUTDOWN、/LOCKおよび/TERMは、Kiosk Managerで残りのコマンドラインが無視されるコマンドライン・オプションです。
/RUNおよび/EVENTコマンドは、Kiosk Managerで、残りのコマンドラインを実行するイベントおよびリスト名として扱うようトリガーします。これらは、すべてのコマンドライン・オプションの処理が完了してから実行されます。These will be run when all of the command line options have finished processing.パラメータのタイプは、前のコマンドによって異なります。コマンドライン・パラメータのタイプは、次の/EVENTまたは/RUNパラメータの受信時にリセットされます。例:
SMAgent /Event “SM session start” “SM session end” /RUN termlist1 termlist2 runlistA “My SessionState”
このコマンドラインは、イベントSM session start、SM session endに関連付けられたリストを実行し、名前付きリストtermlist1、termlist2、runlistAおよびMy SessionStateを実行します。
|
.NET API
外部から呼出し可能なインタフェースおよびメソッド
KioskAPIという名前のクラスは、外部プログラムによってロードされるSMAgent.exe内で使用できます。
オブジェクトは、次のようにインスタンス化されます。
Passlogix.SM.Manager.KioskAPI kiosk = new
Passlogix.SM.Manager.KioskAPI();
次のメソッドを使用できます。
void Lock();
void Term();
void Shutdown();
void Event(string eventName);
void Run(string runtaskName);
・ Lock。現在のKiosk Managerセッションをロックします。
・ Term。ユーザーのKiosk Managerタイマーが期限切れになったかのように、ユーザーのセッションを終了します。
・ Shutdown。SMAgent.exeを終了します。
・ Event。名前付きイベントが発生し、Kiosk Managerでオーセンティケータによるフィルタなしで、名前付きイベントに関連付けられたタスクを実行することをシミュレートします。イベント名は、Events.xmlからのGUID文字列です。
・ Run。イベントまたはオーセンティケータによるフィルタなしで、名前付きタスクを開始します。タスク名は、SessionActionで、SessionState名は、Logon Manager Administrative Consoleで表示されます。
|
|
空白を含むSessionActionまたはSessionState名は、二重引用符で囲む必要があります。
kiosk.Run("\"My SessionAction\"");
|
“SM Session End”イベントと関連付けられたタスクの実行例:
Passlogix.SM.Manager.KioskAPI kiosk = new
Passlogix.SM.Manager.KioskAPI();
if (kiosk != null)
kiosk.Event("{A644ED55-6A3F-4160-A355-C713C90733DF}");
.NET APIのサンプル・コード
Kiosk Managerのベスト・プラクティス
これらのベスト・プラクティスは、最適なKiosk Manager構成の実装に役立つ推奨です。
Kiosk Manager設定のデプロイ
Oracle Enterprise Single Sign-On Administrative ConsoleからのKiosk Managerの大量デプロイメントで最も便利な方法は、カスタマイズ済MSIパッケージを作成して、任意のデプロイメント・ツールを使用して、エンド・ユーザーのキオスク・ワークステーションに配布することです。
|
|
Kiosk Manager設定では、管理オーバーライドは使用できません。
|
SendKeys
SendKeysは信頼できる方法ではないため、想定どおりの作業は保証されません。SendKeysを使用しないことをお薦めします。
Task Managerおよび「Run」の無効化
Windows Task Managerおよび「Run」メニュー・オプションは、Kiosk Managerレジストリ・サービスの機能として、プログラムにより無効化されます。セキュリティを追加するには、Kiosk Managerのキオスク・ユーザー・アカウントとして使用されるすべてのユーザー・アカウントで、これらの機能を無効化することをお薦めします。
「スタート」メニューから「Run」メニュー・オプションを削除するには、次の手順を実行します。
1. gpedit.msc (C:\WINNT\system32\gpedit.msc)をダブル・クリックして、グループ・ポリシー・エディタを開きます。
2. 「User Configuration」→「Administrative Templates」→「Start Menu」→「Toolbar」に移動します。
3. 右側のペインで、「Remove Run from start menu」をダブルクリックします。
4. 「Enabled」を選択して、「Apply」および「OK」をクリックします。
Task Managerを無効化するには、次の手順を実行します。
1. gpedit.msc (C:\WINNT\system32\gpedit.msc)をダブル・クリックして、グループ・ポリシー・エディタを開きます。
2. 「User Configuration」→「Administrative Templates」→「System」→「Ctrl+Alt+Delete Options」へナビゲートします。
3. 右側のペインで、「Remove Task Manager」をダブルクリックします。
4. 「Enabled」を選択して、「Apply」および「OK」をクリックします。
Provisioning Gatewayの概要
Oracle Enterprise Single Sign-On Provisioning Gateway (Provisioning Gateway)を使用すると、管理者は、プロビジョニング・システムを使用してLogon ManagerにユーザーのIDおよびパスワードを自動的にプロビジョニングできます。管理者は、プロビジョニング・システム内の特定のアプリケーションのIDおよびパスワードを追加、変更および削除し、その変更をLogon Managerに反映させることができます。また、保護されているすべてのアプリケーションへのユーザーによるアクセスを回避するために、プロビジョニング・システムからLogon Manager内のすべてのユーザー名およびパスワードを削除することもできます。
次のProvisioning Gateway設定は、Oracle Enterprise Single Sign-On Administrative Consoleで構成します。
・ 「Provisioning」タブ(ロール/グループ・サポート用)
・ アプリケーションの「Provisioning」タブ(ロール/グループ・サポート用)
Provisioning Gateway Administrative Consoleへのアクセス
・ Webブラウザを開き、次のURLを入力します(serverhostは、Provisioning Gatewayがインストールされているサーバーに置き換えます)。
https://serverhost/Provisioning Gateway console/overview.aspx
Logon ManagerでのOPAMサポートの構成
Logon Managerは、Oracle Privileged Account Manager (OPAM)と統合可能です。これにより、OPAMによって保護されているデータベース、Unix/Linux環境およびそのほか使用が制限されているシステムなどのリソースに対してシングル・サインオン機能を提供できます。これを実現するために、Logon Managerは、Provisioning Gatewayを利用して、OPAMとプログラムで接続し、権限付きアカウントのチェックアウトおよびチェックインを実行します。
|
|
この項の手順では、完全な機能を備えたOPAMインスタンスおよびProvisioning Gatewayサーバーの完全な機能を備えたインスタンスがデプロイ済であると想定しています。デプロイメント手順は、OPAMドキュメントおよびOracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
|
次の手順を実行して、OPAMの統合を可能にします。
1. OPAMによって保護するターゲット・システム上に目的に合った権限付きアカウントを作成します(存在していない場合)。手順は、OPAMのドキュメントを参照してください。
2. 権限付きアカウントごとに、必要に応じてOPAM使用のポリシーを構成します。手順は、OPAMのドキュメントを参照してください。
3. Provisioning Gatewayサーバー構成を変更して、OPAMインスタンスとの接続を有効化します。これらの手順の説明は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドのProvisioning Gatewayサーバーのインストールの完了に関する項にあります。
4. Logon ManagerのProvisioning Gatewayクライアント・コンポーネントを、Privileged Accountsサブコンポーネントも含めてインストールします。
5. OPAMで保護するターゲット・アプリケーションごとに、Logon Managerアプリケーション・テンプレートを作成します。
手順は、「Logon Manageのアプリケーション・テンプレートの構成と診断」を参照してください。
6. Provisioning Gatewayを次のように構成します。
a. Provisioning Gateway管理者へのMap Templates権限の付与に関する項の説明に従って、Oracle Enterprise Single Sign-On Suite Administrative Consoleを使用して、Provisioning Gateway管理者アカウントに"Map Templates"権限を付与します。
b. Provisioning Gateway Webコンソールを使用すると、OPAMターゲットへのLogon Managerアプリケーション・テンプレートのマッピングに関する項の説明に従って、適切なLogon Managerアプリケーション・テンプレートを適切なOPAMターゲットにマップできます。
c. Oracle Enterprise Single Sign-On Suite Administrative Consoleを使用し、OPAM統合の動作の構成に関する項の説明に従って、権限が与えられたアカウントの機能へ目的の動作を構成します。
Provisioning Default Rights
このタブを使用して、作成した新しいアプリケーションそれぞれに対してプロビジョニング権限を定義します。この機能によって、作成した各アプリケーションに対して標準の権限が設定されます。アプリケーションを追加した後、必要に応じて権限を変更します。
コントロール
|
Directory
|
ターゲット・ディレクトリ・サーバーを選択します。
|
|
アクセス情報:
|
|
Name
|
このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
|
|
ID
|
ユーザー・アカウント名がリストされます。
|
|
Access
|
ユーザーまたはグループに付与されている権限(ログオンの追加、変更または削除)を示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Add Logon」、「Modify Logon」または「Delete Logon」を選択します。
|
|
アクション
|
|
Copy permissions to
|
このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに簡単に適用できます。このボタンをクリックすると、すべてのアプリケーションが示されているダイアログが表示されます。これらのプロビジョニング権限のコピー先のアプリケーションを選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックします。
|
|
Add
|
「Add User or Group」ダイアログ・ボックスを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。
|
|
Remove
|
選択したユーザーまたはグループをリストから削除します。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
|
「Add User or Group」ダイアログ・ボックス
「Add User or Group」ダイアログ・ボックスは、使用しているディレクトリ・サーバーによって異なります。
・ LDAP
・ Active Directory
・ AD LDS (ADAM)
LDAP
現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログ・ボックスを使用します。
コントロール
|
Search Base
|
ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。ディレクトリ・ツリーを参照するには場所を入力するか、「Change」をクリックします。
|
|
Change
|
検索用のベース・ディレクトリを参照するために「Select Search Base」ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了したら、「OK」をクリックします。
|
|
Search
|
ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
|
|
Users or Groups
|
検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。
|
Active Directory/AD LDS (ADAM)
現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログ・ボックスを使用します。
コントロール
|
List Names From
|
Active Directoryのドメインまたはサーバーを選択します。
|
|
Names
|
選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
|
|
Add
|
「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。
|
|
Members
|
「Names」リストでグループを選択した場合は、「Global Group Membership」ダイアログ・ボックスが表示されます(このダイアログ・ボックスには、選択したグループのメンバーがリストされます)。
|
|
Search
|
特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログ・ボックスが表示されます。
|
|
Add Names
|
この時点までに追加したユーザーまたはグループの名前が表示されます。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。
|
Provisioning Admin Rights
このタブを使用して、Provisioning Gateway Administrative Consoleへの汎用管理権限をユーザーに付与します。
コントロール
|
Directory
|
ターゲット・ディレクトリ・サーバーを選択します。
|
|
アクセス情報:
|
|
Name
|
このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
|
|
ID
|
ユーザー・アカウント名がリストされます。
|
|
Access
|
ユーザーまたはグループに付与された管理権限を示します(「Delete SSO User」または「Map Templates」)。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Delete SSO User」または「Map Templates」を選択します。
|
|
アクション
|
|
Copy permissions to
|
このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに簡単に適用できます。このボタンをクリックすると、すべてのアプリケーションが示されているダイアログが表示されます。これらのプロビジョニング権限のコピー先のアプリケーションを選択します。[Ctrl]を押しながらクリックするかまたは[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックします。
|
|
Add
|
「Add User or Group」ダイアログ・ボックスを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。
|
|
Remove
|
選択したユーザーまたはグループをリストから削除します。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
|
|
リスト内のサーバー名を右クリックすると、コンテキスト・メニューから開き、次の実行が可能です。
|
|
Remove
|
サーバー・リストからサーバーを削除します。
|
|
Publish…
|
「Publish to Repository」ダイアログを起動します。そこで、いくつかのオブジェクトと場所から選択して公開できます。
|
|
Publish To 4
|
メニュー項目から直接1つのリポジトリを選択でき、選択した後、自動的に公開されます。
|
|
Delete SSO User
|
OPAM対応のアカウントへのユーザーのアクセスを無効にします。
|
|
Map Templates
|
管理者が、SSOテンプレートをOPAMターゲットにマップできるようにします。リスト内のユーザーを右クリックし、コンテキスト・メニューから「Map Templates」を選択して、ユーザーにマッピング権限を付与します。
|
第III部 Anywhereを使用したエージェント・デプロイメントの構成
この項では、Anywhereコンソールでの手順および設定と、これらを使用したエンドユーザーのエージェント・デプロイメントの方法について説明します。
この項では、次の内容について習得します。
・ デプロイメント・パッケージの作成。
・ 「General」タブを使用した、実行中のソフトウェア・バージョンの確認。
・ 「Options」タブを使用したデプロイメントの構成。
・ 「Generate」タブを使用したデプロイメント出力の場所の指定および出力の生成。
デプロイメント・パッケージの作成の概要
デプロイメント・パッケージの作成の一般的な手順は、次のとおりです。デプロイメント構成には、Anywhere Consoleの3つのタブの設定を使用します。そのタブの設定の詳細については、各タブのヘルプ・トピックを参照してください。
Anywhereの前提条件およびデプロイメントの制限事項に関する注意事項
デプロイメント・オプションの計画時には、次のことを考慮します。
・ Anywhereは、Windows Authenticator v1との互換性のために設計されています。システム・サービスまたはGINAのインストール、Live HKLM\Software\Passlogixの外部のレジストリ・エントリの追加またはプログラム・ファイルまたはWindowsシステム・フォルダへの追加を必要とするLogon Manager機能と連動して動作するように設計されていません。
・ Visual C++ランタイム・ライブラリおよび.NET 2.0 Frameworkは、Anywhereを実行するための前提条件です。インストール・パッケージには、Visual C++ランタイム・ライブラリが含まれますが、ユーザーが.NET 2.0 Frameworkを使用できるようにする必要があります。ソフトウェアおよびハードウェア要件の完全なリストは、Oracle Enterprise Single Sign-On Suiteのリリース・ノートを参照してください。
・ デプロイメント・パッケージの最後の出力は、.MSIファイルではありません。エンド・ユーザーがLogon Managerおよび追加のエージェント・ソフトウェアを実行するために必要な追加の要件を提供したことを確認する必要があります。
・ Windows Server 2008およびWindows 7のセキュリティ制約のため、エンド・ユーザーがこれらのクライアントを実行して、Anywhereデプロイメント・パッケージを実行するためには、グループ・ポリシー設定を変更する必要があります。詳細は、Oracle Enterprise Single Sign-On Suiteのリリース・ノートの技術的な注意事項の項を参照してください。
・ AnywhereではKiosk Managerをサポートしていません。デプロイメントの作成に使用するためにLogon Managerをインストールする場合、Kiosk Managerオプションを選択しないでください。
・ 32ビット・デプロイメントを作成する場合、32ビット・オペレーティング・システムを、64ビット・デプロイメントを作成する場合は、64ビット・オペレーティング・システムを実行している必要があります。さらに、64ビット・オペレーティング・システムへの32ビット・デプロイメントのダウンロードまたは32ビット・オペレーティング・システムへの64ビット・デプロイメントのダウンロードは失敗します。
デプロイメント・パッケージの作成
1. デプロイメント・パッケージを生成するときに送信される証明書ファイルを取得します。完全な説明は、「SSL接続の証明書の取得」を参照してください。
2. Oracle Enterprise Single Sign-On Administrative Consoleおよびエージェントをクリーンなワークステーションにインストールします。
3. オプションとして、Provisioning Gatewayをインストールします。
4. Oracle製品をデプロイメント用に構成します。
5. 次のいずれかの方法で、Logon ManagerおよびProvisioning Gateway構成設定をAnywhereで使用可能にします。
・ Live Registry。 グローバル・エージェント設定をレジストリに書き込み、「Options」タブ→「Agent settings」で「Live registry」を選択します。
・ Exported Registry File (.REG)。 Oracle Enterprise Single Sign-On Administrative Consoleの.REGファイルは、Anywhereとの直接の互換性はありません。このファイルを使用する場合は、次を実行する必要があります。
a. Microsoft Registry Editor (regedit.exe)を開きます。
b. regedit.exe内から、Oracle Enterprise Single Sign-On Administrative Consoleレジストリ・ファイルを開きます。
c. regedit.exeを使用して、Oracle Enterprise Single Sign-On Administrative Consoleレジストリ・ファイルを保存します。
d. 「Options」タブ→「Agent settings」で、選択内容についてこのファイルを参照します。
|
|
デプロイメント・パッケージの作成に進む前に、構成をテストします。
|
6. Anywhere Consoleをインストールします。Anywhereは、インストールしたワークステーションで、Oracleソフトウェア構成を表示します。
7. 「General」タブで、インストールした製品およびバージョンが、デプロイするものと同じであることを確認します。
8. 「Options」 タブで、次を指定します。
・ デプロイメントのバージョンおよび場所、インストールの場所およびインストール・タイプinstallation type
・ 更新スケジュールのプリファレンス
・ Anywhereで使用するレジストリ設定(ライブ・レジストリまたはregedit.exeを使用して保存したレジストリ・ファイルからの設定)。
9. 「Generate」タブで、次の手順を実行します。
a. 「Summary」ウィンドウで、すべての設定を確認します。
b. デプロイメント・パッケージを作成するディレクトリ・パスを入力するか、または、「Browse…」ボタンをクリックして、ディレクトリへナビゲートします。
c. 「Generate」ボタンをクリックします。
d. プロンプトで、作成した証明書ファイルの場所およびパスワードを入力します。
Anywhere Consoleによって、「Output folder」設定で指定した場所にデプロイメント・パッケージが作成されます。
10. 「File」メニューから、「Save」または「Save As…」をクリックして、デプロイメント構成設定を保存します。
11. 「Target location」設定で指定した仮想ディレクトリまたはファイル共有に、デプロイメント・パッケージをコピーします。
12. Webサービスからのデプロイの場合、エンド・ユーザーに表示する情報を含む汎用テキストを置換して、デプロイメント・ディレクトリでindex.htmlファイルをカスタマイズします。
13. 今回がはじめてのインストールの場合、ユーザーにデプロイメント・パッケージが使用可能であることを通知します。
14. 追加のデプロイメント・パッケージを作成するには、Oracle Enterprise Single Sign-On Administrative Consoleで設定を再構成し、Anywhereの「File」メニューの「New」をクリックします。
|
|
ユーザーには、インストールを変更するオプションはありません。他のユーザーで別のパッケージをインストールする場合、各インストールに別々のデプロイメント・パッケージを作成します。
|
「General」タブ
「General」タブの2つのセクションには、デプロイメント・パッケージを作成したワークステーションにインストールしたOracle製品についての情報が含まれています。
|
Installed products
|
このセクションは、このワークステーションにLogon Managerがインストールされていることを示しています。
|
|
File version
|
このセクションには、Oracle製品のインストールの一部としてインストールされたすべてのコンポーネントとそのバージョン番号およびインストールの場所がリストされています。この情報は、Logon Managerの「About」ボックスの情報と同じです。
|
「Options」タブ
「Options」タブを使用して、デプロイメント・パッケージの設定を構成します。
Install
「Install」グループの設定を使用して、デプロイメント・バージョンおよびファイルの場所を構成します。
|
Deployment version
|
デプロイメントの4桁(x.x.x.x)のバージョン番号を指定します。デプロイメント・バージョンを、デプロイメントに使用するLogon Managerのバージョンに一致させるかどうかは、任意で選択できます。
|
|
Deployment type
|
Anywhereをローカル・ワークステーションにインストールするかどうかを指定します。
「Install Locally」オプションでは、ユーザーの「Start」メニューにAnywhereへのショートカット・アイコンが作成され、「コントロール パネル」で、Anywhereのエントリをユーザーの「プログラムの追加と削除」アプレットに追加します。
「Online」オプションは、セッション単位のデプロイメントで、「スタート」メニュー・ショートカットの作成または「プログラムの追加と削除」へのエントリの追加は行われません。また、ユーザーは、Anywhereを実行するために、Anywhereデプロイメント・パッケージが配置されているWebサーバーまたはファイル共有へのアクセス権が必要です。ユーザーのマシンでファイルがキャッシュされますが、ユーザーは、直接プログラムを実行できません。
|
|
Target location
|
Anywhereが配布される仮想ディレクトリまたはファイル共有を入力します。
|
Updates
「Updates」グループの設定を使用して、Anywhereが更新の確認をするタイミングおよび更新が使用可能な場合にユーザーが拒否するオプションがあるかどうかを指定します。
|
|
ユーザーが任意の更新を拒否した場合、Anywhereはその更新を再度提供することはありません。
|
|
Check before the application starts
|
アプリケーションの起動前に、Anywhereでインストール済のファイルの更新の確認を行う場合、このボックスをチェックします。Anywhereでは、変更のあるファイルのみを更新します。
|
|
Check at defined intervals
|
Anywhereが更新を確認する時間間隔を指定する場合、このボックスをチェックします。構成できる間隔は、1時間から1年(52週)です。
|
|
Specify a minimum required version
|
最小のデプロイメント・バージョンを実施する場合、このボックスをチェックします。
この設定は、ロールバックする際に便利です。Anywhereは1つのバージョンのみをロールバックします。前のデプロイメント以前のものをロールバックする場合は、目的のロールバックを現在インストールされているものより高いバージョンに名前を変更し、この新しいバージョンを最小要件として指定します。ロールバックは、「コントロール パネル」→「プログラムの追加と削除」→「変更」→「リストア」から使用できます。
|
ローカライズされたデプロイメント
ローカライズされたインストーラおよび更新通知を適切な言語で表示するには、ワークステーションに、適切な.NET言語パックがインストールされている必要があります。.NET言語パックをインストールするには、次の手順を実行します。
1. ローカル・ワークステーションにログオンします。
2. 最新のMicrosoft .NET Frameworkがない場合は、インストールします(バージョン2.0以上が必須)。
3. .NET language pack for your version of the 使用している.NET Frameworkのバージョンのターゲットの.NET言語パックをダウンロードおよびインストールします。
4. ワークステーションを再起動します。
5. Anywhereをインストールします。
インストーラがターゲット言語で表示されます。
Agent Settings
「Agent Settings」グループの設定を使用して、Anywhereが使用するレジストリ設定を指定します。
|
Live registry
|
Anywhereライブ・レジストリと同じ設定を使用する場合に選択します。
|
|
Exported registry file (.REG)
|
Administrative Consoleで作成して、エクスポートしたカスタム・レジストリを使用する場合に選択します。このオプションを選択する場合、「Browse…」ボタンをクリックして、Anywhereを目的のレジストリ・ファイルへ移動します。
|
「Generate」タブ
「Generate」タブを使用して、構成設定の要約の表示、デプロイメント出力の場所の指定およびデプロイメント・パッケージの生成を実行します。
|
Summary
|
「General」タブ「Options」タブで、設定を確認します。
|
|
Output folder
|
Anywhereデプロイメントを生成するディレクトリのパスを入力するか、または、「Browse...」ボタンをクリックして、目的のディレクトリへナビゲートします。
|
|
Generate
|
設定を確認し、デプロイメント・パッケージの場所を指定した後、「Generate」ボタンをクリックして、Anywhereデプロイメント・パッケージを作成します。
|
|
|
デプロイメント・パッケージを配布する前に、正しく動作するか確認します。
|
第IV部 Administrative Consoleを使用したPassword Resetの構成
この項では、Oracle Enterprise Single Sign-On Administrative ConsoleでのPassword Reset設定と、これらを使用したエンド・ユーザーのリポジトリ、接続および登録インタビューとリセット・クイズの構成方法について説明します。
この項では、次の手順について説明します。
・ 初回設定
・ 登録インタビューの計画
・ リセット・クイズの計画
・ リセット・サービスの構成
・ ログおよびレポートの使用
・ ユーザー・データの管理
・ 外部バリデータの使用
初回設定
Password Resetサーバー・アプリケーションのインストール後、最初のタスクは、ディレクトリ・サーバーまたはリレーショナル・データベースとWebサービスで使用するサービスを構成することです。ダイアログ・ページの「System」タブで、この初回の構成を実行します。
・ 「Reset Service」タブを使用して、匿名ログオン・アカウント(Password Resetのユーザーおよび管理者がサービスへのアクセスに使用するユーザー・アカウント)を設定します。
・ 「Storage」タブを使用して、システム質問およびユーザー・データ用のPassword Resetリポジトリが作成されるようにディレクトリまたはデータベースを構成します。
・ 「Reset Service」タブを使用して、サービス・アカウント(Password Resetがサーバーにログオンする場合に使用するユーザー・アカウント)を設定します。
これらの手順の終了後、リセット・サービス自体の構成を開始できます。次のようなタスクがあります。
・ 一連のシステム質問および関連ポイント値を指定して、登録インタビューを設定します。
・ 一般的なリセット・サービス・オプションを設定します。これらのオプションには、合格および不合格のスコアのしきい値、ユーザーロックアウト・パラメータおよび管理者アラートが含まれています。
リセット・サービス・アカウントの構成
「Reset Service」タブ(「System」ノードの下)を使用して、IIS Webサービスの匿名ログオンを設定または変更します。これは、すべてのエンド・ユーザーがPassword Resetインタフェースへのアクセスに使用するドメイン・アカウントです。
このダイアログ・ボックスで指定した匿名ログオン・アカウントは、コンピュータ管理サービス・ツールの「Log On As」列に表示されます。アカウントには、次のタスクを実行する権限を含むローカル管理者権限が付与されている必要があります。
・ サービスの開始、停止および変更
・ Active Directory、AD LDS (ADAM)インスタンスまたはデータベース・サーバーからの読取り、またはそれらへの書込み
・ ローカル・マシンのレジストリ(HKLM)への書込み
|
|
管理者権限を持つ新しいユーザー・アカウントを作成するには、Windowsの「コンピュータの管理」コンソールの「ユーザー」および「グループ」ツールを使用します。
|
匿名ログオンの設定または変更
1. 使用するアカウントのユーザー名およびパスワードを入力します。
2. 確認のため再度パスワードを入力します。
3. 「Submit」をクリックします。
このタブのオプション
|
現行のステータス
|
|
Status
|
リセット・サービス・アカウントを起動するかどうかを表示します。このフィールドは、情報のみです。
|
|
Account
|
現在のリセット・アカウントを表示します。このフィールドは、情報のみです。
|
|
サービス・アカウントの変更
|
|
User name
|
リセット・サービス・アカウントに指定したユーザー名。
|
|
Password and Confirm password
|
リセット・サービス・アカウントのパスワード。両方のフィールドにパスワードを入力します。
|
|
サービス・オプション
|
|
Listening Port
|
パスワードのリセット・アクティビティの検出に使用されるポートの番号(デフォルトは 45000)。
|
|
Domain
|
ユーザー・アカウントが配置されている信頼できるドメイン。この設定は、ユーザー・アカウントがPassword Resetマシンのドメイン以外のドメインにある場合にのみ必要です。
|
|
この設定への変更は、すぐに有効になり、IISまたはパスワード・リセット・サービスの再起動は必要ありません。
|
|
サービス記憶域の構成
「Storage」タブ(「System」ノードの下)は、Password Resetシステムの質問およびユーザー登録のリポジトリとして使用するデータベース(SQL ServerやOracle Database)またはディレクトリ・サービス(Active DirectoryやAD LDS (ADAM))の接続設定を表示または変更するために使用します。これを行うには、「Storage Configuration」グループの設定を使用します。変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
また、Password Resetで初回設定(登録およびリセットのサービスに使用するデータベースやディレクトリ・サーバーを準備する)タスクを実行する場合も「Storage」タブを使用します。次のようなタスクがあります。
・ ディレクトリ・タイプ/データベース表を含めるためのスキーマの拡張
・ 主要なコンテナまたはデータベースの作成
・ Webサービス・アカウントへの読取り/書込みアクセス権の付与
・ 必要な子オブジェクトまたは表の作成
これらのタスクを実行するには、「Initialize Storage」グループのコントロールを使用します。
1. 「Initialize storage for Password Reset」を選択します。
2. 「Connect as (User Name)」に、ディレクトリ・サーバーの管理者のユーザー名を入力します。
3. 管理者パスワードを入力します。
4. 「Submit」をクリックして変更を保存します。「Storage」タブを閉じる前に「Submit」ボタンをクリックしないと、変更が失われます。
Active DirectoryおよびAD LDS (ADAM)の記憶域設定
|
設定
|
説明
|
|
「Servers」
|
「Add」をクリックして「Add Server」ダイアログを起動し、必要な情報を入力します。「OK」をクリックして「Servers」リストに戻ります。
Password Resetでは、リストに表示される順に上から下へ接続が試行されます。接続を試行する順にサーバーを並べ替えるには、上矢印と下矢印を使用します。リストからサーバーを削除するには、リスト・ボックスでサーバーを選択して「Delete」をクリックします。リストにある接続が1つのみの場合は、削除できません。
サーバー名が長い場合などは、文字列全体がリスト・ボックスに表示されないこともあります。リスト・ボックス内のアイテムをクリックすると、そのアイテムが「Server Name/IP Address 」および「Port」テキスト・ボックスに移入されます。これによって、そのテキスト・ボックス内をスクロールして完全な文字列を表示できます。また、必要に応じて、完全な文字列を変更したり、新しい接続としてリストに追加することもできます。
|
|
Server timeout (seconds)
|
リスト内の次のサーバーに移動する前に、Password Resetがサーバーからのレスポンスを待機する必要がある値(秒単位)を入力します。
|
|
Storage location (DN)
|
接続ノードの識別名またはネーミング・コンテキスト。
|
|
Use SSL
|
Secure Socket Layer接続を有効にする場合に選択します。
|
LDAP記憶域設定
|
|
Oracle Internet Directory (OID)をリポジトリとして使用する場合に「Enrollments」タブと「Resets」タブを正しく機能させるには、OIDに含まれるCatalog Management Toolを使用して、createTimestamp属性を索引付けする必要があります。
|
|
設定
|
説明
|
|
「Servers」
|
「Add」をクリックして「Add Server」ダイアログを起動し、必要な情報を入力します。「OK」をクリックして「Servers」リストに戻ります。
Password Resetでは、リストに表示される順に上から下へ接続が試行されます。接続を試行する順にサーバーを並べ替えるには、上矢印と下矢印を使用します。リストからサーバーを削除するには、リスト・ボックスでサーバーを選択して「Delete」をクリックします。リストにある接続が1つのみの場合は、削除できません。
サーバー名が長い場合などは、文字列全体がリスト・ボックスに表示されないこともあります。リスト・ボックス内のアイテムをクリックすると、そのアイテムが「Server Name/IP Address 」および「Port」テキスト・ボックスに移入されます。これによって、そのテキスト・ボックス内をスクロールして完全な文字列を表示できます。また、必要に応じて、完全な文字列を変更したり、新しい接続としてリストに追加することもできます。
|
|
Username (DN)
|
LDAPサーバーと通信するアカウントの名前を入力します。これは、識別名(DN)の形式にする必要があります。
|
|
Password
|
「Username (DN)」のアカウントのパスワードを入力します。
|
|
Server timeout (seconds)
|
リスト内の次のサーバーに移動する前に、Password Resetがサーバーからのレスポンスを待機する必要がある値(秒単位)を入力します。
|
|
Storage location (DN)
|
接続ノードの識別名またはネーミング・コンテキスト。
|
|
Use SSL
|
Secure Socket Layer接続を有効にする場合に選択します。
|
Oracle Database記憶域設定
|
設定
|
説明
|
|
Database connections
|
「Add」をクリックして「Add Connection String」ダイアログを起動し、必要な情報を入力します。「OK」をクリックして「Servers」リストに戻ります。
その後に、次の手順でストレージを初期化します。
1. <Password Resetサーバーのインストール場所>\WebServicesディレクトリ(C:\Program Files\Passlogix\v-GO SSPR\WebServicesなど)から、OracleTables.txtファイルを検索し、Oracle DBMSワークステーションにコピーします。
2. Oracle DBMSワークステーションでOracleTables.txtファイルを実行すると、Password Resetの記憶域リポジトリに必要な表がOracle内部に作成されます。
|
|
このスクリプトを実行すると、Oracle DBMS内部に既存のPassword Reset表が削除され、再作成されます。
|
Password Reset Management Consoleで、「System」→「Storage」に進みます。「Storage type」に「Oracle」を選択します。
3. 前述の接続文字列を入力します。
Password Resetでは、リストに表示される順に上から下へ接続が試行されます。接続を試行する順に接続文字列を並べ替えるには、上矢印と下矢印を使用します。リストから接続文字列を削除するには、リスト・ボックスで文字列を選択して「Delete」をクリックします。リストにある接続が1つのみの場合は、接続文字列を削除できません。
データベース接続文字列が長い場合などは、文字列全体がリスト・ボックスに表示されないこともあります。リスト・ボックス内のアイテムをクリックすると、そのアイテムが「Connection String」テキスト・ボックスに移入されます。これによって、そのテキスト・ボックス内をスクロールして完全な文字列を表示できます。また、必要に応じて、完全な文字列を変更したり、新しい接続としてリストに追加することもできます。
|
|
Database timeout (seconds)
|
リスト内の次のデータベースに移動する前に、Password Resetがデータベースからのレスポンスを待機する必要がある値(秒単位)を入力します。この値は、接続文字列に Connect Timeoutパラメータが含まれている場合、データベース接続では使用されません。
|
SQL Server記憶域設定
|
設定
|
説明
|
|
Connection String
|
データベース・サーバーに対する完全な接続文字列。次に例を示します。
Provider=SQLOLEDB.1;Integrated Security=SSPI;Initial Catalog=SSPR;Data Source=Servername;
Trusted_Connection=Yes
「Database Connections」リストに接続を追加するには、「Add」をクリックします。フェイルオーバーのサポート用に複数の接続を追加できます。2つ以上の接続を入力すると、Password Resetは、正常に接続されるか、またはすべての接続に失敗するまでリストに示された順序で接続の試行を繰り返します。
|
|
Database connections
|
「Add」をクリックして「Add Connection String」ダイアログを起動し、必要な情報を入力します。「OK」をクリックして「Servers」リストに戻ります。
Password Resetでは、リストに表示される順に上から下へ接続が試行されます。接続を試行する順に接続文字列を並べ替えるには、上矢印と下矢印を使用します。リストから接続文字列を削除するには、リスト・ボックスで文字列を選択して「Delete」をクリックします。リストにある接続が1つのみの場合は、接続文字列を削除できません。
データベース接続文字列が長い場合などは、文字列全体がリスト・ボックスに表示されないこともあります。リスト・ボックス内のアイテムをクリックすると、そのアイテムが「Connection String」テキスト・ボックスに移入されます。これによって、そのテキスト・ボックス内をスクロールして完全な文字列を表示できます。また、必要に応じて、完全な文字列を変更したり、新しい接続としてリストに追加することもできます。
|
|
Database timeout (seconds)
|
リスト内の次のデータベースに移動する前に、Password Resetがデータベースからのレスポンスを待機する必要がある値(秒単位)を入力します。この値は、接続文字列にConnect Timeoutパラメータが含まれている場合、データベース接続では使用されません。
|
|
記憶域の初期化
|
|
Initialize storage for ESSO-PR
|
初めて行う構成タスクを有効にします。このオプションが選択されている場合は、Password Resetによってリスト内の新しい接続が検索され、順次初期化が試行されます。ある接続の初期化が正常に実行されなかった場合、初期化はその時点で停止し、リスト内のそれ以降の接続は初期化されません。このような状況が発生した場合は、問題を解決してから、初期化を再試行します。
|
|
Oracle Databaseの場合: 「Database Connections」セクションで実行した手順により、この設定は不要で、Oracle Databaseには使用できません。次の2つの設定のみ入力する必要があります。
|
|
|
Connect as (User Name)
|
ディレクトリまたはデータベースの管理者のユーザー名。
|
|
Password
|
管理者のパスワード。
|
接続文字列の追加
1. パスワードのリセット情報を保持するサーバーへの接続文字列を入力します(ユーザー、パスワードのリセット・ポリシー、登録の質問および回答)。
2. 終了したら、「OK」をクリックして「Storage Configuration」タブに戻ります。
文字列は、データベース・サーバーに対する完全な接続文字列である必要があります。次に例を示します。
・ Oracle DBの場合: Provider=OraOLEDB.ORACLE;Data Source=XE;User ID=system;Password=password
・ SQL Serverの場合: Provider=SQLOLEDB.1;Integrated Security=SSPI;Initial Catalog=SSPR;Data Source=Servername;
Trusted_Connection=Yes
フェイルオーバーのサポート用に複数のサーバーを使用できます。2つ以上のサーバー・アドレスを入力すると、Password Resetは、正常に接続されるか、またはすべての接続に失敗するまでリストに示された順序で接続の試行を繰り返します。
登録インタビューの設定
ユーザーが登録プロセスを起動すると、Password Resetによって登録インタビューが表示されます。
登録インタビューは、次の2つのグループの質問で構成されます。
・ 必須質問
・ オプション質問
必須質問およびオプション質問は、システム質問と呼ばれます。システム質問は、管理者がOracle Enterprise Single Sign-On Administrative Consoleの「Questions」タブを使用して、事前定義し、管理するものです。詳細は、「システム質問の構成」および「質問の例」を参照してください。
エンド・ユーザーが質問に回答して、定義された登録レベルを満たすと、登録インタビューは終了します。
ユーザーがオプション質問をスキップすると、登録レベルのしきい値を満たさない場合があります。この場合、Password Resetはオプション質問セットを再度開始し、スキップされた可能性のある質問に回答するようにユーザーに求めます。
登録レベルの設定
登録レベルは「Settings」ページで指定します。管理者は、この機能を使用して、エンド・ユーザーが登録インタビュー・プロセスを完了するために蓄積する必要がある合計ポイント値を設定できます。以前は、認証成功レベル(「Settings」→「Authentication thresholds」)を満たすために十分な合計ポイント値を持つ必須質問を、管理者は構成する必要がありましたが、このしきい値によってこの要件はなくなります。
Password Resetでは、必須質問およびオプション質問の両方をカウントして登録レベルを満たすように、十分なポイントを持つ質問を構成できます。登録レベルは、認証成功レベル以上である必要があります。登録レベルと認証成功レベルの両方のしきい値によって、ユーザーは質問プールから回答する質問を柔軟に選択できます。
登録インタビュー中の質問の開始は、オプションまたは必須にできます。プログレス・バーに、ユーザーが登録レベルのしきい値をどの程度満たしたかが(パーセントで)表示されます。
ユーザーが質問セットの最後に達しても、ポイントが登録レベルに満たない場合は、Password Resetに「You have not answered enough optional questions to satisfy the enrollment requirement.In order to complete the enrollment process, you must continue to answer questions until the progress bar reaches 100%.」というメッセージが表示されます。Password Resetは、オプション質問セットを開始して、前にスキップした質問に回答するようにユーザーに求めます。
各国語サポート
最初に表示される登録ダイアログは、各国語サポート(NLS)によって、必要に応じてビジネス単位ごとの優先言語で表示できます。NLSは、Password Resetでサポートされるすべての言語で必要になります。
英語の登録インタビューの最初のページに表示される「ようこそテキスト」は、UserText.xmlというXMLファイルに格納されます。ローカライズされたようこそページのXMLファイルの名前は、UserText.<language code>.xmlという形式になり、<language code>は.NETで使用するRFC 1766フォーマットで示されている言語コードに置き換えられます。たとえば、ドイツ語のXMLファイルはUserText.de.xml、フランス語のXMLファイルはUserText.fr-ca.xmlという名前になります。これらのファイルは、\WebServicesフォルダに格納されます。Password Resetは、前述の名前付けパターンを使用しているファイルすべてをロードし、適切なバージョンを使用して登録ページのようこそ画面を表示します。
クライアント側のWindowsインタフェースは、ユーザーがインストールした言語をURL内で渡して、その言語で登録ページを表示するようにPassword Resetに伝えます。
すべての言語コードのリストについては、このガイドのリファレンスの項の「クライアント・レジストリの設定」を参照してください。
システム質問の作成
「System Questions」タブ(「Questions」ノードの下)を使用して、登録インタビューのシステム質問を作成します。質問の重み付けの有効化/無効化および変更を含む質問の編集の手順については、「システム質問の編集」を参照してください。推奨されているテキストおよび設定については、「質問の例」を参照してください。
レスポンス・リポジトリのセキュリティ
Password Resetは、1方向のSHA-1ハッシュ・アルゴリズムを使用して、登録インタビューの回答を暗号化された形式でリポジトリに格納します。また、ハッシュする前に、16乱数バイトのエントロピが登録回答に追加されます。
新しいシステム質問の作成
1. 「System Questions」タブで、質問を入力する言語を選択します。デフォルトの言語は常に使用可能です。
同じ質問を複数の言語で入力および構成できます。このタブに移動し、ドロップダウン・リストから言語を選択すると、選択した言語で質問が表示されます。
このリストに質問を追加すると、ウィンドウの直下の行では、ユーザーが正しい回答と間違った回答で蓄積できるポイントの集計が行われます。「Settings」タブで指定した認証しきい値に達するための十分なポイントが付いた質問に追加するまで、その行は赤字で表示されます。
2. 「Add」をクリックして、「Edit Question」ダイアログを起動し、質問の入力および構成を開始します。
質問へのポイント値の割当て
セルフ・サービスでのリセットを実装する場合の安全性は、個々のシステム質問の選択および重み付けによって異なります。各質問に関する主要な考慮事項を次に示します。
・ 回答の機密性。 あるユーザーの回答を知っている(または推測できる)他のユーザーの数(理想的には0)。回答の機密性が高い場合、リセット・クイズで回答が正しかった場合に質問に割り当てることができるポイント値も高くなります。
・ 回答の個人性。 誤った回答によって、リセット・クイズを受けているユーザーが認証ユーザーではないことを確認できるレベル。たとえば、「左利きですか、右利きですか、両利きですか。」などの質問。個人的な回答を求める質問は、リセット・クイズでエリミネータとして使用できます。回答が正しい場合は数ポイントまたは0ポイントが加算され、回答が正しくない場合は多くのポイントが減算されます。
・ 回答の覚えやすさおよび不変性。 これによって、ユーザーは、登録時に入力した回答を正確に思い出すことができます。好みに関連する質問(「一番好きなアイスクリームは何ですか。」など)は、回答が正しい場合も正しくない場合も低いポイント値にする必要があるため、任意の質問に最適です。対照的に、簡単に思い出すことができる不変の事実に基づいた質問(「最後に通った高校の名前は何ですか。」など)は、回答が正しい場合または正しくない場合に高いポイント値にすることができます。これらの質問は、必須の質問に最適です。
・ リセット・クイズに合格する(または明示的に不合格になる)ために回答する必要がある質問の最小数。これは、合格/不合格のスコアのしきい値、および正しい回答をした場合および正しくない回答をした場合に応じて各質問に割り当てるポイント値から導出されます。
詳細は、「質問の例」を参照してください。
システム質問の構成
システム質問は、管理者が準備します。手順は、「システム質問の作成および編集」を参照してください。
各システム質問には、次の設定が含まれています。
・ 質問のテキスト。 質問のテキストには、エンド・ユーザーが登録時に入力する回答とリセット・クイズで入力する回答を同じにしておくために役立つ、書式に関する特別な指示がすべて含まれています。リセット・クイズで入力する回答には、大/小文字を区別して一致した文字列を入力する(厳密に同じスペル、句読点、大/小文字の区別および空白が使用されている)必要があります。たとえば、「社会保障番号は何番ですか。」という質問に回答する場合は、回答の数字セグメント間にダッシュが必要かどうかに注意してください。
・ リセット・クイズ時、質問に対する回答が正しい場合に合計スコアに加算されるポイント値。
・ リセット・クイズ中、質問に対する回答が正しくない場合に合計スコアから減算されるポイント値。
・ 登録インタビューを完了するためにユーザーが質問に回答する必要があるかどうか。ユーザーは、必須の質問に対して回答する必要があります。任意の質問は、インタビューの最後に表示されます。エンド・ユーザーが回答を拒否した任意の質問は、リセット・クイズではそのユーザーに対して表示されません。
・ 回答のソース。 デフォルトでは、Password Resetでは、リセットで使用されるすべての質問および重み付けは管理者が入力および設定し、登録時にユーザーが回答する必要があります。また、Password Resetでは、このプロセスを簡略化するために外部バリデータ・ソースも使用されます。また、外部バリデータは、事前定義された回答が含まれている様々なソース(human resourcesデータベースなど)からデータをコールできます。詳細は、外部バリデータに関する項を参照してください。
・ エンド・ユーザーが入力できる有効な回答に対する制約。この制約には、次のようなものがあります。
o 回答の最小限の長さ。
o 正規表現で指定する回答の書式(数字、句読点の使用方法など)。たとえば、ハイフンで区切った数字で社会保障番号を入力する必要がある場合は、次の式を使用します。
\d{3}-\d{2}-\d{4}
正規表現の詳細は、http://msdn. microsoft.com/のリファレンスを参照してください。
o 大文字小文字が区別されます。つまり、登録インタビューの回答で使用される大文字小文字は、リセット・クイズの回答のものと完全に一致する必要があります。
・ 質問の言語。 最初に新しい質問を作成することを選択したときに、言語を指定します。質問は次のいずれの言語でも表示できます。
|
英語(デフォルト)
|
ドイツ語
|
ノルウェー語
|
スロバキア語
|
|
ポルトガル語(ブラジル)
|
ギリシャ語
|
ポーランド語
|
スペイン語
|
|
チェコ語
|
ハンガリー語
|
ポルトガル語
|
スウェーデン語
|
|
デンマーク語
|
イタリア語
|
ルーマニア語
|
タイ語
|
|
オランダ語
|
日本語
|
ロシア語
|
中国語(繁体字)
|
|
フィンランド語
|
韓国語
|
中国語(簡体字)
|
トルコ語
|
|
フランス語(カナダ)
|
|
|
|
システム質問の編集
「System Questions」タブ(「Questions」ノードの下)を使用して、現在の一連のシステム質問を入力または変更します。このタブでは、次の操作を実行できます。
・ 新しい質問の作成(必要に応じて、複数の言語で)。
・ ポイント値の割当て。
・ 必須/任意のステータスの設定。
・ 回答のソースの指定。
・ エンド・ユーザーの回答に対する妥当性チェック。
・ 質問へのアクセスを許可または拒否するユーザーとグループの選択。
・ システム質問の無効化、つまり、登録インタビューからの削除。
登録インタビューで無効した質問は、無効にした質問に対してすでに回答しているエンド・ユーザーがリセット・クイズを受ける場合はリセット・クイズに表示されますが、質問を無効にした後に登録または再登録したユーザーがリセット・クイズを受ける場合は表示されなくなります。
詳細は、「システム質問の作成」、「システム質問の編集」および「登録インタビューの設定」を参照してください。推奨されているテキストおよび設定については、「質問の例」を参照してください。
|
質問のテキスト
|
|
Question Text
|
質問のテキストがそのままの状態でエンド・ユーザーに対してデフォルトの言語で表示されます。
書式に関する指示または例を含めることをお薦めします。たとえば、電話番号を尋ねる場合は、(333) 555-1234などの例を示して登録インタビューとリセット・クイズ間での一貫性を保持します。
|
|
<Language> text
|
2つ以上の言語でPassword Resetを使用している場合、このフィールドに翻訳した質問テキストを入力します。
|
|
質問のプロパティ
|
|
Correct Response Weight
|
質問に対する回答が正しい場合にエンド・ユーザーのスコアに加算されるポイントの数を指定します。このフィールドを変更する場合は、「質問の重み付けの変更」を参照してください。
|
|
Wrong Response Weight
|
質問に対する回答が正しくない場合にエンド・ユーザーのスコアから減算されるポイントの数を示す負の数を指定します。このフィールドを変更する場合は、上述の「質問の重み付けの変更」を参照してください。
|
|
Enabled
|
選択した場合: 対象となっている質問は、登録インタビューおよびリセット・クイズで使用されます。
選択を解除した場合: 対象となっている質問は、登録インタビューでは使用されなくなります。1)以前に有効にされた場合および2)エンド・ユーザーが登録インタビューでこの質問に回答した場合にのみ、リセット・クイズで使用されます。
|
|
Required
|
チェックした場合: 必須の質問になります。エンド・ユーザーは、登録を終了するために質問に回答する必要があります。必須の質問は、リセット・クイズで常に使用されます。
選択を解除した場合: 任意の質問になります。エンド・ユーザーは、登録インタビューでこの質問をスキップできます。スキップした場合、この質問は、このエンド・ユーザーのリセット・クイズでは使用されなくなります。エンド・ユーザーが任意の質問に回答すると、その質問は、すべての必須の質問が終了した後でのみリセット・クイズで使用されます。
|
|
回答の制約
|
|
Answer Source
|
対象となっている質問に対する回答のソースを指定します。ユーザーが登録インタビュー中に正しい回答を指定する場合、デフォルト「User Supplied」を選択します。
ユーザーがソースを指定しない場合、ドロップダウン・リストから、外部バリデータの場所を選択します。詳細は、「外部バリデータの使用」を参照してください。
|
|
Minimum Answer Length
|
エンド・ユーザーが有効な回答として入力する必要がある文字の最小数を指定します。
|
|
Answer Format
|
正規表現を使用して回答の書式および句読点を指定します。たとえば、日付書式12/1/1983は次の式で指定できます。
\d*\d/*\d\d/\d{4}
(月日には 1桁または 2桁のエントリを使用できます。年は 4桁にする必要があります)。エンド・ユーザーに社会保障番号をダッシュ付きで入力させる場合は、次の式を使用します。
\d{3}-\d{2}-\d{4}
この設定はオプションです。
|
|
Case Sensitive
|
選択した場合: エンド・ユーザーの回答で大/小文字の一貫性が保持されているかどうかが確認されます。
選択を解除した場合: エンド・ユーザーの回答で大/小文字の一貫性が保持されているかどうかが確認されません。
|
|
アクセス制御
|
|
Allow
|
「Add」ボタンをクリックして、この質問を受信するユーザーおよびグループを選択するウィンドウを起動します。
|
|
Deny
|
「Add」ボタンをクリックして、この質問を受信しないユーザーおよびグループを選択するウィンドウを起動します。
|
|
デフォルトでは、アクセスを拒否されたユーザーまたはグループが存在する場合は、「Allow」リストに指定されているユーザーおよびグループ以外のすべてのユーザーおよびグループによるアクセスが拒否されます。
|
|
システム質問の変更または無効化
1. 「Questions」タブで、質問を変更する言語を選択します。
2. 次のいずれかを実行します:
・ 質問をダブルクリックします。
・ 質問を選択して、「Edit」をクリックします。
3. 「Edit Question」ダイアログで、次のいずれかまたはすべてを実行します。
・ テキストを編集してから、「OK」をクリックします。
・ 重み付けを編集してから、「OK」をクリックします。
|
|
「Correct Response Weight」または「Wrong Response Weight」を変更した場合、「Response Weights Changed」ダイアログ・ボックスが表示されます。次の「質問の重み付けの変更」を参照してください。
|
・ 質問を登録インタビューから削除する場合は、「Enabled」の選択を解除します。
|
|
質問の作成後、必須にするかどうかまたは回答の制約設定を変更できません。
|
・ この質問を割り当てるユーザーおよびグループを選択または選択解除します。
|
|
リポジトリにデータベース(Microsoft SQL ServerまたはOracle Databaseなど)を使用している場合、ユーザーまたはグループに質問を割り当てることはできません。設定は、編集に使用できますが、割当ては、データベースに書き込まれません。
|
4. 「OK」をクリックして、変更を保存するか、または、「Cancel」をクリックして、変更を破棄して、「System Questions」タブに戻ります。
質問の重み付けの変更
・ Modify this question: このオプションを選択すると、対象となっている質問に対して変更が行われます。登録時にこの質問に回答したユーザーは、正しい回答の重み付けの設定が低すぎる場合、パスワードをリセットできない可能性があることに注意してください。
または
・ Disable this question and create a new question: 対象となっている質問を無効にし、変更を反映して新しい質問を作成します。このオプションには、現在登録しているユーザーは変更の影響を受けないというメリットがあります。無効にした質問は、「System Questions」リストに無効として(グレーアウトされて)表示されることに注意してください。
質問の例
次の表に、必須または任意の質問として推奨されているシステム質問のいくつかの例を、-100から100ポイントのデフォルトのスコアのしきい値に基づいた推奨ポイント値とともに示します。
必須質問
次に示す質問は、必須の質問に最適です。これらのすべての質問では、レコードに基づいた事実が回答となることに注意してください。できるかぎり多くの異なるソースからの回答が含まれるように必須の質問を選択することをお薦めします。たとえば、一部の州では、運転免許証に社会保障番号および生年月日が示されている場合があります。
|
質問
|
必須かどうか
|
回答が正しい場合のポイント
|
回答が正しくない場合のポイント
|
|
社会保障番号は何番ですか(番号のみで空白は入れない)。
|
Y
|
10
|
-75
|
|
生年月日はいつですか(mmddyy)。
|
Y
|
25
|
-50
|
|
出生地はどこですか。
|
Y
|
25
|
-50
|
|
What is your mother's maiden name?
|
Y
|
25
|
-75
|
|
最初に通った学校の名前は何ですか(または最初に通ったことを覚えている学校の名前は何ですか)。
|
Y
|
25
|
-25
|
|
最後に通った高校の名前は何ですか。
|
Y
|
25
|
-25
|
エリミネータ
次に示す質問は、認証ユーザーが正しくない回答をする可能性が低いため、エリミネータとなります。回答は個人的なものであるため、正しい回答には低いポイントまたは 0ポイント、正しくない回答には高い負のポイント値が加算されます。
|
質問
|
必須かどうか
|
回答が正しい場合のポイント
|
回答が正しくない場合のポイント
|
|
目の色は何色ですか。
|
Y
|
0
|
-75
|
|
左利きですか、右利きですか、両利きですか(l、r または a)。
|
Y
|
5
|
-75
|
|
性別は何ですか(男または女)。
|
Y
|
0
|
-75
|
オプション質問
次に示す質問は、すべての登録者には当てはまらないため、任意の質問としてのみ使用できます。
|
質問
|
必須かどうか
|
回答が正しい場合のポイント
|
回答が正しくない場合のポイント
|
|
最初のペットまたは一番好きなペットの名前は何でしたか。
|
N
|
25
|
-25
|
|
初めて買った車の色は何色でしたか。
|
N
|
25
|
-25
|
|
配偶者の旧姓は何ですか。
|
N
|
25
|
-25
|
|
兄弟姉妹は何人いますか。
|
N
|
25
|
-25
|
|
配偶者の生年月日はいつですか(mmddyy)。
|
N
|
25
|
-25
|
リセット認証の構成
エンド・ユーザーがパスワードのリセットをリクエストすると、Password Resetによってリセット・クイズが表示されます。
リセット・クイズは、エンド・ユーザーが登録インタビューで回答したシステム質問から導出された一連の質問です。リセット・クイズでは、すべての必須の質問が一度に1つずつランダムに表示され、エンド・ユーザーはそれらに回答を入力していきます。必須の質問が設定されていない場合、Reset Quizによって、オプションの質問のみが表示されます。各回答に対して、回答が正しい場合は事前設定されたポイント値が合計スコアに加算され、回答が正しくない場合はポイント値が減算されます。
すべての必須の質問が表示された後、リセット・クイズは、a)すべての任意の質問が表示されるまで、またはb)エンド・ユーザーが2つのスコアのしきい値のいずれかを満たす十分な数の質問に回答するまで続行します。
・ エンド・ユーザーのスコアが、事前設定された合格スコアのしきい値以上の場合は、「New Password」ダイアログ・ボックスが表示されます。次に、エンド・ユーザーは、新しいパスワードを入力および確認してから、最初のログオン・ダイアログ・ボックスに戻ります。
・ エンド・ユーザーのスコアが、事前設定された不合格スコアのしきい値以下の場合は、リセット・クイズがパスワードのリセットなしで終了し、エンド・ユーザーは最初のログオン・ダイアログ・ボックスに戻ります。このテスト・セッションは、Password Resetによって、エンド・ユーザーが質問に正しく回答しなかったことによってテストに合格しなかったことを示す明示的な不合格として記録されます。
エンド・ユーザーがいずれのスコアのしきい値にも到達せずにすべての質問への回答を終了した場合は、リセット・クイズがパスワードのリセットなしで終了し、エンド・ユーザーは最初のログオン・ダイアログ・ページに戻ります。このテスト・セッションは、Password Resetによって、エンド・ユーザーが合格または明示的な不合格という結果を出すための十分なスコアを取得できずにテストに合格しなかったことを示す暗黙的な不合格として記録されます。
スコアのしきい値
スコアのしきい値は、エンド・ユーザーがリセット・クイズに合格か不合格かを決定するポイント値です。
・ 合格値は、パスワードのリセットのためにエンド・ユーザーが取得する必要があるスコア(テストで取得したポイント値の合計)を示します。
・ 不合格値は、リセット・クイズの質問に正しく回答しない場合にエンド・ユーザーが取得可能な最小(負)のスコアを示します。エンド・ユーザーのスコアがこの設定を下回ると、リセット・クイズは、パスワードの設定なしで終了します。
詳細は、リセット・サービスの設定を参照してください。
マルチドメインのサポート
Password Resetを構成して、Windowsパスワードをリセットし、そのドメイン内または信頼されていると指定したドメイン内のWindowsアカウントのロックを解除できます。
マルチドメインのサポートには、次の条件があります。
・ Password Resetドメインとその他のドメイン間で有効な双方向の信頼関係を持つ必要があります。
・ Password Resetのサービス・ユーザー・アカウントは、信頼できるドメインのローカル管理者グループのメンバーである必要があります。
・ すべてのドメインで、Password Resetサーバーと同じ設定(パスワードの複雑性、アラート、質問など)を共有する必要があります。
マルチドメインのサポートの設定
Management Consoleで、次の画面から、信頼されていると指定するドメインを選択します。
・ 「Edit Users/Groups」ダイアログ・ボックスのドロップダウン・メニュー。
・ 既存の質問の編集時または新しい質問の作成時の「Questions」タブ。
・ 「Users」タブ。
これらの画面のいずれかでドメインの選択を行うと、変更は、他のすべての画面に反映されます。選択したドメインは、レジストリ値HKLM\SOFTWARE\Passlogix\SSPR\SSPRService\DisplayDomainに保存されています。
|
|
信頼できるドメインの問合せを再度実行すると、エラー・メッセージ「The server is not operational.」が表示されます。これは、信頼されたドメインで、ゲスト・アカウントがオンになっている場合、そのアカウントは、ユーザーを列挙する権限を持っていないために発生します。
このエラーをなくすためには、次のいずれかを実行します。
・ 信頼されたドメインでは、ゲスト・アカウントをオフにします。
・ 信頼されたドメインで、同じ信頼されたドメイン・ユーザーを作成します。
|
リセット・サービス設定の編集
「Settings」タブ(「Settings」ノードの下)を使用して、リセット・クイズの一般設定を変更します。変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
認証しきい値
|
|
Authentication Success Level
|
パスワードのリセットのためにエンド・ユーザーが取得する必要があるスコア(テストで取得したポイント値の合計)。デフォルト値は100です。
|
|
Authentication Failure Level
|
エンド・ユーザーが取得可能な最小(負)のスコア。エンド・ユーザーのスコアがこの設定を下回ると、リセット・クイズは、パスワードのリセットなしで終了します。デフォルト値は-100です。
|
|
Enrollment level
|
登録インタビューを完了するためにエンド・ユーザーが取得する必要があるスコア(登録インタビューで取得したポイント値の合計)。デフォルト値は100です。「Enrollment Level」は、「Authentication Success Level」以上である必要があります。
|
|
リセットのロックアウト
|
|
Lockout threshold (attempts)
|
リセットの試行を連続して失敗できる許容回数。エンド・ユーザーは、このフィールドに指定された回数連続してリセット・クイズに不合格になると、「Lockout Duration」に指定されている期間はリセット・クイズを試行できなくなります。
|
|
Lockout duration (hours)
|
エンド・ユーザーがリセット・クイズを受けることができない期間(時間単位)。ロックアウト期間は、エンド・ユーザーが「Lockout Thresholds」に指定された回数連続してリセット・クイズに不合格になると開始されます。
|
|
個々のエンド・ユーザーのロックアウトを無効にするには、「Users」タブをクリックし、リストからエンド・ユーザーを選択してから、「Unlock」をクリックします。
|
|
|
登録の強制
|
|
Deferrals allowed
|
ユーザーがPassword Resetの登録を遅延させることができる最大回数。ユーザーは、最大遅延回数を超えると、ログオンを許可されるために、登録プロセスを完了する必要があります。
|
|
ユーザー電子メール
|
|
Required during enrollment
|
登録時にユーザーが電子メール・アドレスを入力する必要があるかどうかを制御します。
|
|
E-mail format (正規表現)
|
ユーザー電子メール・アドレスの有効な形式を制御します。デフォルト設定で、ほとんどの許容範囲の電子メール書式を使用できます。
|
|
リセットの経験
|
|
Show "Unlock account only" option
|
ユーザーが、パスワードのリセットではなくアカウントのロック解除を行うオプションを使用できるかどうかを制御します。このオプションは、ユーザーがリセット・クイズに合格した後に表示されます。
|
|
Enable “Display temporary password” mode
|
Password Resetで、ユーザーがActive Directoryのパスワード・ポリシーにかかわらず、パスワードをリセットすることを許可するかどうかを制御します。.このチェックボックスを有効にすると、Password Resetでは、設定されているすべてのADの制限事項を上書きし、ユーザーに一時パスワードを提供します。ユーザーは、その一時パスワードでログオンし、Windowsを介して変更できます。
|
詳細は、「リセット認証の構成」を参照してください。
強制登録からのユーザーの除外
ユーザーを強制登録から除外するオプションがあります。この手順は、実行しているInternet Information Services (IIS)のバージョンに応じて異なります。
Internet Information Services 6
IIS Manager 6で強制登録からユーザーを除外する手順は次のとおりです。
1. Open the Internet Information Services (IIS) Managerツールを開きます。
2. vGOSelfServiceReset仮想Webディレクトリを検索して、展開します。
3. vGOSelfServiceReset\Resetクライアント仮想ディレクトリの直下のCheckEnrollment.aspxファイルを見つけます。
4. CheckEnrollment.aspxを右クリックして、「Properties」を選択します。
5. CheckEnrollmentStatus.aspxのプロパティで、「File Security」タブをクリックしてから、「Authentication and access control」セクションで「Edit」をクリックします。
6. 「Authentication Methods」ダイアログ・ボックスで、「Integrated Authentication」のみを選択するように、「Anonymous Access」のチェックを解除します。
7. C:\Program Files\Passlogix\v-GO SSPR\ResetClientへナビゲートして、CheckEnrollment.aspxファイルに権限を設定します。
8. 除外グループの「Deny」権限にチェックを追加します。次の例では、除外グループは、Universal_Group_SSPRです。
Internet Information Services 7
IIS 7で強制登録からユーザーを除外する手順は次のとおりです。
1. Internet Information Services (IIS) Managerツールを開き、「Default Web Site」を開きます。vGOSelfServiceReset仮想Webディレクトリを開きます。
2. ResetClient仮想ディレクトリを選択します。
3. 右側ペインの下部にある「コンテンツ ビュー」を選択します。
4. CheckEnrollment.aspxを右クリックして、「機能ビューに切り替え」を選択します。
5. 右側のペインのIISセクションで、「認証」をダブルクリックします。
6. 「匿名認証」を右クリックし、「無効にする」を選択します。
これで、CheckEnrollment.aspxに対して有効化されている認証方法は、Windows認証のみになります。
7. 左側のペインでCheckEnrollment.aspxを右クリックし、「アクセス許可の編集」を選択します。
8. 除外グループの「Deny」権限にチェックを追加します。次の例では、除外グループは、Universal_Group_SSPRです。
Password Complexity
「Password Complexity」タブ(「Settings」ノードの下)を使用して、パスワード制約を調整して、それらが Windows ドメインのグループ・ポリシーに一致しているか、または Windowsドメインのグループ・ポリシーの制約内に収まっていることを確認する場合にのみ使用します。この設定は、エンドユーザー・パスワードには適用されません(次の注意を参照)。通常の使用方法(通常のグループ・ポリシー)では、これらの設定を変更する必要はありません。
変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
|
エンドユーザー・パスワードをリセットするには、リセット・サービス・アカウントで、ユーザーのプロキシとして中間パスワード・リセットを実行します。リセット・サービス・アカウントは、ドメインのグループ・ポリシーに準拠した内部生成パスワードを生成しますが、ドメインの最小パスワード・ポリシーの対象ではありません。このダイアログ・ボックスでのパスワードの複雑度の設定は、その中間パスワードのみに適用され、エンドユーザー・パスワードには適用されません。
パスワードをリセットすると、Active Directory内のユーザーのパスワード履歴に2つのエントリが追加されます。
|
パスワードの複雑度のオプション
|
制約
|
|
Minimum Length
|
内部パスワードの最小長: 1から63 (デフォルトは16)
|
|
Maximum length
|
内部パスワードの最大長: 1から63 (デフォルトは16)
|
|
Number of times characters can repeat
|
0から62、デフォルトは7
|
|
英字
|
|
Allow Uppercase Characters
|
大文字を許可する場合に選択します(デフォルト: 許可)
|
|
Allow Lowercase Characters
|
小文字を許可する場合に選択します(デフォルト: 許可)
|
|
数字
|
|
Allow Numeric Characters
|
数字(0から9)を許可する場合に選択します(デフォルト: 許可)
|
|
Minimum Occurrences
|
1から63、デフォルト: 1
|
|
Maximum Occurrences
|
1から63、デフォルト: 1
|
|
特殊文字
|
|
Allow Special Characters
|
特殊文字(英数字以外)を許可する場合に選択します(デフォルト: 許可されていません)
|
|
Minimum Occurrences
|
1から63、デフォルト: 1
|
|
Maximum Occurrences
|
1から63、デフォルト: 1
|
|
Special Characters List
|
使用可能な文字(デフォルト: !@#$%^&*()_-=+[]\|.?)
|
Alerts
「Alerts」タブ(「Settings」ノードの下)を使用して、Password Resetを構成し、管理者またはユーザー(あるいはその両方)に、重大なユーザー生成イベントの通知を電子メール送信します。ディレクトリC:\program files\Passlogix\v-GO SSPR\WebServicesで製品に含まれているUserText.xmlテンプレートで、このアラートを構成します。
次の表では、UserText.xmlの変数の一覧を示します。
|
電子メール・テンプレート変数
|
説明
|
|
$USER
|
Active Directoryで定義されたユーザーの表示名(フルネーム)
|
|
$ACCOUNT
|
domain\username形式のユーザーのユーザー名。
|
|
$ADMIN
|
管理者の名前(Administrative Consoleの「Alerts」タブで入力したもの)
|
|
$DATETIME
|
イベントが発生した日時(例: 7/23/2012 3:24 PM)
|
|
$ATTEMPTS
|
ユーザーがリセット・クイズに失敗した回数
|
|
$PRODUCT
|
ESSO-PR
|
|
$FULLPRODUCT
|
Oracle Enterprise Single Sign-On Password Reset
|
「Send Test E-mail to Admin」をクリックすると、サンプル・アラートを表示できます。結果が適切である場合、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
電子メールの設定
|
|
Enable e-mail alerts
|
電子メール・アラートを有効化する場合に選択します。
|
|
"From" e-mail address
|
アラートの送信元の電子メール・アドレス。このアドレスには、後で指定するSMTPメール・サーバーで有効な任意の電子メール・アドレスを指定できます。
|
|
Admin e-mail address
|
アラートの送信先の管理者の電子メール・アドレス。
|
|
Admin name(電子メールに表示される)
|
アラートの送信先の管理者の名前。この名前は、電子メールに表示されます。
|
|
SMTP mail server
|
送信メール・サーバーの名前。
|
|
アラート条件
|
|
User fails a reset attempt
|
ユーザーがリセットの試行に失敗した場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。
ロックアウト・コントロールについては、リセット・サービスの設定を参照してください。
|
|
User successfully resets password
|
ユーザーがパスワードを正常にリセットした場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。
|
|
User is locked out of Reset Quiz
|
ユーザーがリセット質問に、許容されるしきい値以上の回数失敗した場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。
|
Logging
「Logging」タブ(「Settings」ノードの下)を使用して、ロギングを有効化し、syslogサーバーおよびポートを指定して、syslogメッセージを生成するイベントのタイプを選択します。Password Resetにより、これらのメッセージはsyslogリスナーに送信され、管理者にユーザー登録およびリセット・イベントを知らせる通知が生成されます。
次の情報を入力し、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
SysLog
|
|
Enable
|
チェックすると、syslogロギングが有効になります。
|
|
Server Name/IP Address
|
syslogサーバーの名前またはIPアドレス。
|
|
Server port
|
syslogサーバーがSyslogメッセージをリスニングするポート(デフォルト・ポートは514)。
|
|
イベント・フィルタ
|
|
Start
|
チェックすると、ユーザーが登録またはリセット・セッションを開始した場合に、Password Resetによってメッセージが送信されます。
|
|
Cancel
|
チェックすると、ユーザーが登録またはリセット・セッションをキャンセルした場合に、Password Resetによってメッセージが送信されます。
|
|
Success
|
チェックすると、ユーザーが登録またはリセット・セッションを正常に完了した場合に、Password Resetによってメッセージが送信されます。
|
|
Fail
|
チェックすると、ユーザーが登録またはリセット・セッションに失敗した場合に、Password Resetによってメッセージが送信されます。
|
|
Locked Out
|
チェックすると、ユーザーが(リセット・クイズに失敗し続け)Password Resetシステムからロックアウトされた場合に、Password Resetによってメッセージが送信されます。
|
レポーティング
「Reporting」タブ(「Settings」ノードの下)を使用して、ユーザー・アクティビティのレポート生成を構成します。このツールの使用の詳細は、このガイドのReportingに関するセクションを参照してください。
このタブの設定では、Reportingツールおよびデータベースを構成します。「Submit」をクリックして、新しい設定を適用します。
レポーティング設定
|
Enable
|
このボックスをチェックして、レポーティングを有効にします。
|
|
Retry Interval
|
イベントをデータベースにオフロードするレポーティング・サービスのキャッシュの順次処理間のタイムアウトを分単位で定義します。デフォルトは30です。間隔はデータベースの接続負荷を減らすために必要です。
|
|
Batch Size
|
データベースのストアド・プロシージャに一度に送信されるイベントのグループ・サイズを定義します。デフォルトは100です。たとえば、Reporting Serviceのキャッシュに1000個のイベントがあり、バッチ・サイズが100の場合、データベースのストアド・プロシージャを10回コールすることになります。
|
|
Cache Limit
|
キャッシュされるレポーティング・イベントの数。この数に達した場合、最も古いイベントが破棄されます。デフォルトは4,294,967,295です。
たとえば、バッチ・サイズが100で、エンド・ユーザーのシステムがReporting Serviceに接続できない場合、イベントは記録され続けます。4,294,967,295に達した場合は、最も古いイベントが破棄されます。
|
データベース設定
|
Connection String
|
Database connection string: OLE DB形式で入力します。
・ "Provider=sqloledb; Data Source=myServerName; Initial Catalog=myDatabaseName; User Id=myUsername; Password=myPassword"
または
・ Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=<Database>;Data Source=<DBServer>
|
|
Stored Procedure
|
データベースのストアド・プロシージャの名前です。エンコード済イベントがデータベースに送信されると、XMLファイルをデコードするためにストアド・プロシージャがコールされ、イベントがデータベースに格納されます。
|
登録ユーザー・インタフェースの構成
「Enrollment UI」タブ(「Settings」ノードの下)を使用して、登録インタビューのユーザー・インタフェースをカスタマイズします。
Password Resetクライアントのすべてのページ(登録インタビューおよびリセット・インタビューは含まれますが、Management Consoleは含まれません)のルック・アンド・フィールを編集できます。このページで、登録ユーザー・インタフェースの色、フォントおよびロゴを調整できます。
このタブで行った選択は、デフォルトのスタイル設定になります。次の手順を実行すると、追加のスタイルを作成できます。
1. Oracle Enterprise Single Sign-On Administrative Consoleを停止します。
2. C:\Program Files\Passlogix\v-GO SSPR\WebServices\Templatesで、default.xmlを選択して、コピーします。
3. コピーを同じディレクトリへ貼り付けます。
4. コピーしたファイルを選択して、名前を変更します。Oracle Enterprise Single Sign-On Administrative Consoleを再起動すると、新しいスタイルがドロップダウンで使用可能になります。選択すると、デフォルトのスタイルを保持しながら、全体的に異なるルック・アンド・フィールを作成および保存できます。
次の情報を入力し、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
ステータス・パネル
|
|
Text Color
|
ステータス・パネルのテキストの色を選択します。
1. 省略記号「…」ボタンをクリックして、カラー・ピッカーを起動します。次のいずれかを実行します。
・ 標準の色見本を選択します。
または
1. 「Define Custom Colors>>」をクリックして、選択した色を混ぜます。
2. スライダを使用するか、または、色のHSLまたはRGB値を入力して、「Add to Custom Colors」をクリックします。
3. カスタム色見本で新しい色を選択して、「OK」をクリックします。
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。
・ 「Select solid color…」を選択すると、カラー・ピッカーが起動します。上述と同じ手順に従い、色を選択します。
・ 「Select image…」を選択すると、サーバーの%SSPR%\Imagesフォルダのすべてのイメージから選択できるダイアログが起動します。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleのステータス・パネルの背景イメージは、408×28です。
|
|
|
サイド・パネル
|
|
Normal Text Color
|
サイド・パネルのハイライト表示されていないカテゴリ・テキストのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Current Step Text Color
|
サイド・パネル内の現行の手順のテキストに使用される色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
|
|
このイメージにサイズ要件はありません。
|
|
|
ページ
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
|
|
このイメージにサイズ要件はありません。
|
|
|
Border Color
|
ページの枠線の色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Text Font
|
登録UIに使用するフォントを選択します。省略記号「…」ボタンをクリックして、「Font」ウィンドウを起動します。目的のフォントをハイライト表示して、「OK」をクリックします。
|
|
サーバーにインストールされたフォントからフォント・リストが生成されます。リストにフォントを追加するには、サーバーにそのフォントをインストールします。
|
|
|
ボタン
|
|
Enable style
|
このボックスをチェックすると、この項で作成したボタン・スタイルをアクティブ化します。
|
|
Normal Color
|
登録UIのボタンの通常の色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Hover Color
|
登録UIのボタンポイント時の色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Text Color
|
登録UIのボタンのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
トップ・パネル
|
|
Text Color
|
登録UIのトップ・パネルのテキストに表示されるテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleのステータス・パネルの背景イメージは、408×47です。
|
|
|
ロゴ
|
|
|
Image
|
登録UIの左上の領域に表示するロゴ・イメージを選択します。上述と同じ手順に従い、背景イメージを選択します。このリストにイメージを表示するには、%SSPR%\Imagesフォルダに存在する必要があります。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleの登録ロゴは146×47です。
|
|
|
メイン・パネル
|
|
Text Color
|
メイン・パネルのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleのメイン・パネルの背景イメージは、408×273です。
|
|
リセット・ユーザー・インタフェースの構成
「Reset UI」ダイアログ・ボックス(「Settings」タブの下)を使用して、リセットのユーザー・インタフェースをカスタマイズします。
Password Resetクライアントのすべてのページ(登録インタビューおよびリセット・インタビューは含まれますが、Management Consoleは含まれません)のルック・アンド・フィールを編集できます。このページで、リセット・ユーザー・インタフェースの色、フォントおよびロゴを調整できます。
レジストリを介したリセット・ユーザー・インタフェースの変更
一部のユーザー・インタフェースの設定は、レジストリ設定を介してのみ構成可能です。次に例を示します。
・ デフォルトでは、リセット・ユーザー・インタフェースは、フィールドに、最後にワークステーションにログオンしたWindowsアカウントのユーザー名およびドメインが事前移入されています。上述のメッセージをこれらのフィールドに設定して、「To reset your network password, please type in your user name, choose the domain, and click OK to continue.」というプロンプトを表示できます。
上述のオプションのレジストリ設定の詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
・ デフォルトでは、登録およびリセット・ウィンドウのタイトル・バーに、「Oracle ESSO-PR」と表示されます。会社のニーズに応じて、このウィンドウ・タイトルを変更できます。
・ デフォルトでは、パスワード・リセット・リンク・メッセージに、「Forgot your password? Click here to reset it.」と表示されます。このリンクのメッセージを変更できます(この構成のレジストリ設定は、Windows 7でのみ適用されます)。
上述のオプションのレジストリ設定の詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
エラー・メッセージは、カスタマイズ可能です。詳細は、「リセット・メッセージのカスタマイズ」を参照してください。
次の情報を入力し、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
ロゴ
|
|
Image
|
リセット・ウィンドウに表示するロゴ・イメージを選択します。省略記号「…」ボタンをクリックして、サーバーの%SSPR%\Imagesフォルダのすべてのイメージから選択できるウィンドウを起動します。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleのリセット・ロゴは106×29です。
|
|
|
ウィンドウ
|
|
Border Color
|
リセット・ボックスの枠線の色を選択します。
1. 省略記号「…」ボタンをクリックして、カラー・ピッカーを起動します。次のいずれかを実行します。
・ 標準の色見本を選択します。
または
1. 「Define Custom Colors>>」をクリックして、選択した色を混ぜます。
2. スライダを使用するか、または、色のHSLまたはRGB値を入力して、「Add to Custom Colors」をクリックします。
3. カスタム色見本で新しい色を選択して、「OK」をクリックします。
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。
・ 「Select solid color…」を選択すると、カラー・ピッカーが起動します。上述と同じ手順に従い、色を選択します。
・ 「Select image…」を選択すると、サーバーの%SSPR%\Imagesフォルダのすべてのイメージから選択できるダイアログが起動します。
|
|
このイメージにサイズ要件はありません。参考までに、Oracleのリセット・ウィンドウの背景イメージは、450×350です。
|
|
|
Normal Text Color
|
リセット・プロセス中に表示されるエラー・メッセージのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Error Color
|
サイド・パネルのハイライト表示されていないカテゴリ・テキストのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Version Info Color
|
リセット・ウィンドウに表示されるバージョン情報のテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
ボタン
|
|
Enable style
|
このボックスをチェックすると、この項で作成したボタン・スタイルをアクティブ化します。
|
|
Normal Color
|
リセットUIのボタンの通常の色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Hover Color
|
リセットUIのボタンのポイント時の色を選択します。上述と同じ手順に従い、色を選択します。
|
|
Text Color
|
リセットUIのボタンのテキストの色を選択します。上述と同じ手順に従い、色を選択します。
|
|
ページ
|
|
Background
|
ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
|
|
このイメージにサイズ要件はありません。
|
|
|
Text Font
|
登録UIに使用するフォントを選択します。省略記号「…」ボタンをクリックして、「Font」ウィンドウを起動します。目的のフォントをハイライト表示して、「OK」をクリックします。
|
|
Password Resetサーバーにインストールされたフォントからフォント・リストが生成されます。リストにフォントを追加するには、サーバーにそのフォントをインストールします。
|
|
リセット・メッセージのカスタマイズ
ユーザーがパスワード変更を試行し、設定したアカウントまたはパスワード・ポリシーのいずれかの制限により、実行できない場合、ユーザーは、試行に失敗した理由を説明するエラー・メッセージを受信します。管理者は、Management Consoleでこれらのエラー・メッセージを最も一般的にカスタマイズでき、これは、ユーザーのエラー修正に役立ちます。
表示を確認するカスタマイズ可能なエラー・メッセージおよびインスタンスは、次のとおりです。
|
Message
|
メッセージ・コード
|
説明
|
|
Password has been successfully reset.
|
Text_ResetSuccess
|
パスワード・リセットの試行に成功しました。
|
|
Your account has been successfully unlocked.
|
Text_UnlockSuccess
|
アカウントのロック解除の試行に成功しました。
|
|
Your temporary password is "<b>{0}</b>".
|
Text_TempPassword
|
リセット・クイズの完了後、ユーザーに一時パスワードを指定します。
|
|
このメッセージには、必ず{0}構文を含めてください。Password Resetは、この文字列を一時パスワードで置換します。
|
|
|
<p>Thank you for using $PRODUCT.</p>
<p>You may not be able to log on immediately because it takes time for account updates to propagate throughout the network.</p>
|
Text_Success
|
上述の成功メッセージの後に続く情報メッセージです。
|
|
Password Resetは、$PRODUCT文字列を製品名で置換します。
|
|
|
Access Denied
|
Error_AccessDenied
|
ユーザーが続行するには、管理者による修正が必要な構成エラーがあります。
|
|
Bad Password
|
Error_BadPassword
|
ユーザーは、パスワード・ポリシー要件を満たしていないパスワードを入力しました。
|
|
Click here to reset the enrollment session.
|
Text_ResetSession
|
このテキストでは、ユーザーに、クリックしてリセット・セッションへリンクするURLへ移動するよう支持します。
|
|
Session is invalid.
|
Error_SessionInvalid
|
ユーザーは、リセット・クイズを受けている間に、非アクティブ状態が可能な期間を超えました。
|
|
The answers provided failed to satisfy the requirements necessary to continue with the reset.
|
Error_FailQuiz
|
ユーザーは、失敗のしきい値に達する不正な回答を提供しました。
|
|
The reset service is currently not available.Please contact your administrator for more information.
|
Error_ServiceNotRunning
|
Password ResetサーバーでSSPRChangePasswordSvcサービスが実行していません。
|
|
Error retrieving user data.Please make sure the specified user is enrolled.
|
Error_UnknownUser
|
ログオンを試行したユーザーは、Password Resetに登録されていません。
|
|
User Cannot Change
|
Error_UserCannotChange
|
ユーザーは、管理者が定義したポリシーに反した方法で期間および方法で、パスワード変更を試行しています。
|
|
User Not Found
|
Error_UserNotFound
|
アカウントの登録時から現在のアクセス試行までの間に、ユーザーのアカウントは、Active Directoryから削除されています。
|
|
Your account has been locked out.
|
Error_LockedOut
|
ユーザーは、リセット・クイズを受けることができる回数を超えており、Password Resetからロックアウトされています。ユーザーは、管理者がアカウントのロックを解除するか、または、ロックアウト期間が経過するまで、待機する必要があります。
|
|
|
この設定をサーバー・レジストリに追加します。詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドのPassword Resetレジストリ設定に関する項を参照してください。
|
例
次の例では、「Bad Password」エラー・メッセージを変更します。ユーザーが、パスワード・ポリシーに準拠しないパスワードを入力した場合、ユーザーは、標準のエラー・メッセージ「The password did not meet password policy requirements.」を受信します。
ユーザーに、ポリシー準拠のパスワードを選択する方法を知らせるために、このメッセージにさらに情報を追加するとします。このメッセージを変更するには、次の手順を実行します。
1. 「スタート」メニューで、「ファイル名を指定して実行」を選択します。
2. regeditと入力して、レジストリを開きます。
3. レジストリ・キーHKLM > SOFTWARE > Passlogix > SSPR > SSPRServiceを選択します。
4. SSPRServiceフォルダを右クリックして、「New」→「DWORD value」をクリックして、新しいDWORD値を作成します。
5. レジストリ設定にReset_CustomizedErrorMsgと名前を付け、値1を割り当てて、アクティブ化します。この設定では、サーバーがエラー・メッセージを取得するディレクトリ
C:\Program Files|Passlogix\v-GO SSPR\ResetClient\App_CustomizedResourcesを指定します。
6. 編集する.iniファイルを選択して、テキスト・エディタで開きます。
|
|
サーバーは、ユーザーが登録時に選択した言語でエラー・メッセージを取得します。ユーザーが英語を選択した場合、サーバーは、ResetErrorStrings.iniファイルを使用します。それ以外の場合、対応する言語の.iniファイルを使用します。編集できるメッセージは、この.iniファイルに含まれています。
|
7. ノート・パッドまたは他のテキスト・エディタで、.iniファイルを開きます。
8. エンド・ユーザーに表示するメッセージを変更します。
|
|
メッセージは、必ず1行で入力してください。エンド・ユーザーへのメッセージを複数のパラグラフで表示する場合、<br> タグを使用します。
|
9. 変更を保存してファイルを閉じます。次にユーザーが許容できないパスワードを入力した場合、編集されたメッセージが表示されます。例: 「The password did not meet password policy requirement.Please enter a password at least seven characters long.」
ロール/グループのサポート
システム質問は、特定のロールまたはユーザー・グループに割り当てられています。ロール/グループの割当ては、ユーザーが登録インタビュー中に尋ねられる質問を決定します。
|
|
リポジトリにデータベース(Microsoft SQL ServerまたはOracle Databaseなど)を使用している場合、ユーザーまたはグループに質問を割り当てることはできません。設定は、編集に使用できますが、割当ては、データベースに書き込まれません。
|
アクセス制御パネルにより、質問権をユーザーおよびグループに割り当てられるよう、ユーザーおよびグループが使用可能になります。「Users and Groups」リストは、「Show Users」ボックスをチェックするまで、移入されていません。ドメイン・ユーザーおよびグループは、特定の質問への「Allow」または「Deny」アクセスをはじめから割り当てられているわけではありません。
ユーザーまたはグループが選択されると、矢印ボタン(<< および >>)が有効になります。矢印ボタンをクリックして、「Users and Groups」リストと「Allow」および「Deny」リスト間で、ユーザーを移動します。「Create」または「Modify」をクリックすると、ロール・アクセス権/グループ・アクセス権がシステム質問用のバックエンド記憶域に書き込まれます。
アクセス制御のルールは次のとおりです。
・ 「Allow」/「Deny」リストが空の場合: すべてのユーザーおよびグループが質問を受信します。
・ 「Allow」リストが空で、「Deny」リストが移入済の場合: 「Deny」リストのすべてのユーザーおよびグループは、質問を受信しません。その他のすべてのユーザーおよびグループは、質問を受信し、「Allow」は暗黙的です。
・ 「Deny」リストが空で、「Allow」リストが移入済の場合: 「Allow」リストのすべてのユーザーおよびグループが質問を受信します。他のすべてのユーザー/グループは受信しません。「Deny」は暗黙的です。
・ 両方のリストが移入されている場合: 「Deny」リストにない「Allow」リストのユーザーおよびグループは、質問を受信します。「Allow」リストのユーザーまたはグループが「Deny」リストにもある場合または「Deny」リストのグループに属している場合、そのユーザーまたはグループは、質問を受け取りません。「Deny」は「Allow」を上書きします。
「Deny」リストでのユーザーまたはグループの存在は、「Allow」リストでの存在よりも常に優先されます。
|
シナリオ番号
|
説明
|
許可
|
拒否
|
結果
|
|
1
|
「Allow」および「Deny」リストにユーザーまたはグループが指定されていません。
|
O
|
O
|
全員が質問を受信します。
|
|
2
|
「Allow」リストには、Dr. Baxterが指定されており、「Deny」リストにはだれも指定されていません。
|
Dr. Baxter
|
O
|
Dr. Baxterのみが質問を受信します。他のすべてのユーザーは拒否されます。
|
|
3
|
「Deny」リストには、Dr. Baxterが指定されており、「Allow」リストにはだれも指定されていません。
|
O
|
Dr. Baxter
|
Dr. Baxter以外の全員が質問を受信します。
|
|
4
|
「Allow」リストにはDoctorsグループが指定されており、「Deny」リストにはDoctorsグループのDr. Loomisが指定されています。
|
Doctors
|
Dr. Loomis
|
すべてのメンバーおよび質問を拒否したDr. Loomis以外のDoctorsグループのメンバーのみが質問を受信します。
|
|
5
|
「Deny」リストにはDoctorsグループが指定されており、「Allow」リストにはDr. Loomisが指定されています。
|
Dr. Loomis
|
Doctors
|
Dr. Loomisを含む全員が質問を拒否します。「Deny」リストは、「Allow」リストより優先されます。
|
次のシナリオは、これらのルールの適用方法を説明します。
メンバーDr. BaxterおよびDr. Loomisを含むグループDoctorsを設定します。
・ シナリオ1: 「Allow」および「Deny」リストが移入されていない場合、すべてのユーザーおよびグループが質問を受信します。
・ シナリオ2: 「Deny」リストが移入されておらず、「Allow」リストが移入されている場合、「Allow」リストのユーザーおよびグループのみが質問を受信します。
・ シナリオ3: 「Deny」リストにユーザーまたはグループがあり、「Allow」リストは移入されていない場合、「Deny」リストのユーザーまたはグループのみ質問を受信しません。
・ シナリオ4: 「Allow」リストにグループがあるが、そのメンバーのグループが「Deny」リストにある場合、「Deny」リストにあるメンバーを除く、そのグループのメンバー全員が質問を受信します。
・ シナリオ5: 「Deny」リストにグループがあるが、そのグループのメンバーが「Allow」リストにある場合、そのメンバーは質問を受信しません。
Manage Users
「Manage Users」タブ(「Users」ノードの下)を使用して、エンド・ユーザーの登録ステータスのレポートを生成します。.このレポートは、ユーザーが登録インタビューを完了したかどうか、登録の日時およびユーザーが現在ロックアウトされているかどうかを示します。
レポートを生成するには、適切な表示オプションを選択します。「Search」をクリックして、画面にレポートを生成および表示するか、または「Export」をクリックして、レポートをCSVファイルとして保存します。
|
表示オプション
|
|
Show users whose username contains
|
一致するレポート検索のためのテキストを入力します。
|
|
Domains
|
使用可能なドメインから選択します。
|
|
Show users that are:
|
レポートを生成するユーザー登録ステータスを選択します。
・ Enrolled
・ Not Enrolled
・ Both
|
|
Show date/time of enrollment
|
登録の日時を表示する場合に選択します。(これを有効にすると、レポート生成に時間がかかる場合があります。)
|
登録検索結果の表示
「Search Results」画面(「Manage Enrollments」タブ)を使用して、登録ログを表示します。このログには、指定した期間内に登録インタビューを受けた(少なくとも開始した)すべてのユーザーの登録アクティビティが記録されています。
・ 登録インタビューを開始したすべてのユーザーの名前。
・ 各ユーザーの現在の登録ステータス。
・ エンド・ユーザーが登録中に回答するすべてのシステム質問(必須およびオプション)の合計ポイント値。
・ 各登録アクティビティの日時。
詳細は、「登録インタビューの設定」および「登録の管理」を参照してください。
登録の管理
「Manage Enrollments」タブ(「Enrollments」ノード)を使用して、指定した日付範囲内の登録ログ・エントリを表示、エクスポートまたは削除します。
1. ポップアップ・カレンダから、日付範囲の開始日および終了日を選択します。
2. アクションを選択します。
・ 「View Log」を選択すると、「Search Results」ウィンドウが開き、ここでは、ユーザー、ユーザーのステータス、スコア、アクティビティの時間を表示できます。
・ 「Export to File」を選択すると、指定した日付範囲内のすべてのログ・エントリをカンマ区切り形式でファイルに保存します。ファイルへの保存後に、エクスポートしたログ・エントリを削除する場合は、「Delete entries after successful export」チェックボックスを選択します。
・ 「Delete entries」を選択すると、指定した日付範囲内のすべてのログ・エントリを保存せずに削除します。
3. 「Submit」をクリックします。「Save As」ダイアログで、「Export to File」を選択した場合、ファイル名を入力し、「OK」をクリックします。
詳細は、「登録インタビューの設定」を参照してください。
リセットの表示
「View Resets」ダイアログ・ページ(「Resets」タブの下)を使用して、リセット・ログを表示します。行われた各リセット・クイズのレコードには、ユーザー名、テストの日時、テストのスコア、現行のリセット・ステータスおよびテストを受けるために使用したワークステーションのIPアドレスが表示されます。
特定の日付範囲内のログ・エントリを表示するには、開始日および終了日を入力(または「Choose」をクリックしてポップアップ・カレンダから日付を選択)し、「Submit」をクリックします。
詳細は、「リセット認証の構成」を参照してください。
リセットの管理
「Manage Resets」タブ(「Resets」ノードの下)を使用して、指定した日付範囲内のリセット・ログ・エントリを表示、エクスポートまたは削除します。
1. ポップアップ・カレンダから、日付範囲の開始日および終了日を選択します。
2. アクションを選択します。
・ 「View Log」を選択すると、「Search Results」ウィンドウが開き、ここでは、ユーザー、ユーザーのステータス、スコア、アクティビティの時間を表示できます。
・ 「Export to File」を選択すると、指定した日付範囲内のすべてのログ・エントリをカンマ区切り形式でファイルに保存します。ファイルへの保存後に、エクスポートしたログ・エントリを削除する場合は、「Delete entries after successful export」チェックボックスを選択します。
・ 「Delete」を選択すると、指定した日付範囲内のすべてのログ・エントリを保存せずに削除します。
3. 「Submit」をクリックします。「Save As」ダイアログで、「Export to File」を選択した場合、ファイル名を入力し、「OK」をクリックします。
詳細は、「リセット認証の構成」を参照してください。
外部バリデータの使用
デフォルトでは、Password Resetでは、リセットで使用されるすべての質問および重み付けは管理者が入力および設定し、登録時にユーザーが回答する必要があります。また、Password Resetでは、このプロセスを簡略化するために外部バリデータ・ソースも使用されます。組織は、外部バリデータによって、Password Resetで受入れ可能なバックエンドにインタフェースを記述することができます。また、このバリデータは、事前定義された回答が含まれている様々なソース(HRデータベースなど)からデータをコールできます。
たとえば、リセットのための質問の1つが「社会保障番号は何番ですか。」であるとします。デフォルトでは、ユーザーは、登録時に登録インタビューで社会保障番号の入力を求められます。その後、ユーザーは、パスワードのリセット時に社会保障番号の入力を求められます。外部バリデータが備えられている場合、管理者は、事前定義された社会保障番号のリストが含まれている外部データ・ソースに、Password Resetを送信できます。ユーザー登録時にバリデータによって前述の質問に対する回答が提供されるため、ユーザーは、この質問を確認する必要もなくなります。パスワードのリセットの試行時にのみこの質問に回答する必要があります。システム質問が外部バリデータによって回答された場合は、ユーザーを自動的に登録できます。
外部バリデータの使用を実装するには、次の基本手順を実行します。
1. 外部バリデータを記述します。
2. バリデータをインストールします。
3. 外部バリデータへPassword Resetを送信します。
外部バリデータ・インタフェースの記述
外部バリデータは、.Net 2.0で記述する必要があります。実装を記述するには、ライブラリPasslogix.PasswordReset.dllに参照を追加します。アセンブリ内に、インタフェースを実装するクラスISSPRValidatorを記述する必要があります。このインタフェースには、次の5つのメソッドを含めます。
・ Initialize
・ Cleanup
・ IsValidQuestion
・ IsValidAnswer
・ FriendlyName
|
|
ISSPRValidatorインタフェースを実装しないバリデータまたは起動時に正常に実装されないバリデータは無視されます。
|
バリデータ・インタフェースの定義は次のとおりです。
interface ISSPRValidator
{
// Called by SSPR on first use of validator.
void Initialize();
// Called once by SSPR when the service shuts down.
void Cleanup();
// Returns true/false if question is valid for a given user
bool IsValidQuestion(ISSPRQuery iquery);
// Returns true/false if question/answer pair is correct
bool IsValidAnswer(ISSPRQuery iquery, string strAnswer);
// The friendly name for SSPR to display
string FriendlyName { get; }
}
ISSPRQueryインタフェースは、SSPRサービスによって提供され、次のプロパティが含まれています。
interface ISSPRQuery
{
// The guid of the question
Guid QuestionGuid { get; }
// The users identity (in SID format)
string UserIdentity { get; }
}
このインタフェースの実装後、その実装を参照して次の属性を宣言する必要があります。
[assembly: ISSPRValidatorType("<Validator class>")]
外部バリデータのインストール
バリデータ.dllの記述後、次の手順を実行します。
1. <INSTALL_DIR> \VgoSelfServiceReset\WebServicesの下に<Validatorsというディレクトリを作成します。実際のバリデータ・ディレクトリは、web.configに定義されていて、別のフォルダのほうが検出に適している場合は変更できます。
2. このディレクトリにバリデータをコピーします。
3. Password Reset Webサービスを再起動します。
外部バリデータへのPassword Resetの送信
バリデータのインストール後、次の手順を実行します。
1. Password Reset Management Consoleを開きます。
2. トップ・メニューで「Questions」をクリックしてから、「System Questions」を選択します。既存の質問を選択するか、または、新しい質問を作成します。
3. 「Answer Source」ドロップダウン・リストに使用可能な外部バリデータが表示されます。デフォルトは、登録時にユーザーが質問に回答する必要があることを示す「User Supplied」です。バリデータがインストール済で、検出された場合は、そのフレンドリ名がここに表示されます。適切なバリデータを選択し、質問の設定を保存します。
ユーザーの登録
登録には、ユーザー用の質問とバリデータ用の質問を混在させることができます。外部検証が必要な質問は、「IsValidQuestion」に対して確認され、その結果に基づいて許可/破棄されます。ユーザーは、ユーザー用の質問に対する回答のみを求められます。純粋な外部検証の場合、ユーザーは、自動的に登録されます。
リセット
外部バリデータの削除
外部バリデータを削除するには、次の手順を実行します。
1. .dllが配置されているディレクトリから.dllを削除します。
2. Management Consoleに戻り、外部バリデータに依存する質問を編集するために個別に選択します。
次のエラー・メッセージが表示されます。「The validator <validator details> cannot be found.Answer Source will default to User Supplied.」
3. 「Modify」ボタンをクリックします。
|
|
外部バリデータを削除すると、ユーザーがクイズのリセットに失敗しますが、再登録は強制されません。再登録を強制するには、外部バリデータから独立した登録のユーザーを削除する必要があります。
|
第V部 Administrative Consoleを使用したレポーティング・クライアントの構成
Oracle Enterprise Single Sign-On Suite Administrative Consoleを使用すると、通常業務で発生するすべてのタイプのイベントのレポートを生成するようレポーティング・クライアントを構成することができます。Oracle Business Intelligence (BI) Publisherを使用すると、ニーズに応じた様々な形式を選択できるレポートを出力できます。この項では、レポーティング・クライアントおよびデータベースのインストールおよび構成手順およびBI Publisherを使用したEnterprise Single Sign-onイベントのレポートの作成手順について説明します。
この項の内容は次のとおりです。
・ Oracle Enterprise Single Sign-On Administrative Consoleおよびレポーティング・クライアントのインストール
・ Oracle Enterprise Single Sign-On Administrative Console設定の構成
・ Oracle Databaseの構成
・ SQLデータベースの構成
・ Oracle Enterprise Single Sign-On Suiteレポートを作成するためのBI Publisherの構成
Oracle Enterprise Single Sign-On Suiteのインストールおよび構成手順の詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
レポーティング・イベント定義表については、このガイドのリファレンス・セクションも参照してください。
Oracle Enterprise Single Sign-On Administrative Consoleおよびレポーティング・クライアントのインストール
まだこれを行っていない場合、Oracle Enterprise Single Sign-On Administrative ConsoleおよびLogon Manager Agentをダウンロードおよびインストールします。エージェントのインストール中に、オプションとしてレポーティング拡張機能がインストールされ、Oracle Enterprise Single Sign-On Administrative Console内で構成されます。
レポーティング拡張機能のインストール
Logon Manager Agentのインストール中に、クライアント・ワークステーションにレポーティング拡張機能をインストールします。InstallShieldウィザードの起動後に、次の手順を実行します。
1. 「Setup Type」パネルで、「Custom Setup」を選択します。
2. 「Custom Setup」パネルで、「Audit Logging Methods」を展開します。
3. レポーティング・サーバーを選択して、それをインストールするよう設定します。
4. 画面に表示される指示に従い、インストールを完了します。
|
|
特定の手順については、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
|
レポーティング設定の構成
Logon Managerを構成して、イベントの取得を開始するには、Oracle Enterprise Single Sign-On Administrative Consoleで、設定の一部を調整する必要があります。
1. 「スタート」→「プログラム」→「Oracle」→「ESSO-LM Administrative Console」を選択して、Oracle Enterprise Single Sign-On Administrative Consoleを開きます。
2. グローバル・エージェント設定のセットを選択します(または「Global Agent Settings」を右クリックして、「Import」を指し、「From Live HKLM」をクリックして、「Live」を展開します)。
3. 「Audit Logging」を展開して、レポーティング・サーバーを選択します。次の設定を構成します。
・ Connection String。 OLE DB形式で、データベース接続文字列を入力します。マシンは、ドメイン内にある必要があります。例:
Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist
Security Info=False;Initial Catalog=<Database Name>;
Data Source=<database server>.
・ Stored Procedure。 データベースのストアド・プロシージャの名前です。エンコード済イベントがデータベースに送信されると、XMLファイルをデコードするためにストアド・プロシージャがコールされ、イベントがデータベースに格納されます。これを
"dbo.sp_WriteEvents"に設定します。
・ Batch Size。 データベースのストアド・プロシージャに一度に送信されるイベントのグループ・サイズを定義します。たとえば、Reporting Serviceのキャッシュに1000個のイベントがあり、バッチ・サイズが100の場合、データベースのストアド・プロシージャを10回コールすることになります。(デフォルトは100です。)
・ Cache Limit。 キャッシュされるレポーティング・イベントの最大数。この数に達した場合、最も古いイベントが破棄されます。たとえば、バッチ・サイズが100で、エンド・ユーザーのシステムがReporting Serviceに接続できない場合、イベントは記録され続けます。1000に達した場合は、最も古いイベントが破棄されます。(デフォルトは1000です。)
・ Retry Interval。 イベントをデータベースにオフロードするレポーティング・サービスのキャッシュの順次処理間のタイムアウトを分単位で定義します。間隔はデータベースの接続負荷を減らすために必要です。(デフォルトは30です。)レポーティングを使用している場合、「Retry Interval」を0に設定する必要があります。
6. Logon Manager エージェントに設定をエクスポートします。グローバル・エージェント設定の詳細は、Logon Managerのドキュメントを参照してください。
ドメイン・ユーザーとしてのReporting Serviceの設定
ドメイン・コンピュータ・グループと同じ権限を割り当てることで、レポーティング・サーバーをドメイン・ユーザーにできます。これにより、ドメイン・コンピュータ・グループをデータベースに接続する必要がなくなり、Oracle Databaseの使用時にも、クリア・テキストのユーザー名およびパスワードを指定する必要がなくなります。
|
|
サービスとしてのログオンに使用するユーザー・アカウントに、「Password never expires」を選択しておくことをお薦めします。
|
ドメイン・ユーザーとしてのレポーティングの設定プロセスの概要
このプロセスは、次のステップで構成されています。
1. ドメイン・ユーザー・アカウントの作成
・ Oracleの場合、Oracle Databaseに接続するアカウントを作成します。
または
・ Microsoft SQLの場合、ドメイン・コンピュータ・グループに付与した権限と同じSQLデータベースへの権限を持つドメイン・ユーザーを作成します。
2. Reporting Serviceドメイン・ユーザーへのサービスとしてログオンするための権限の付与。
3. 作成したドメイン・ユーザー・アカウントとしてのReporting Serviceの実行。(たとえば、すべてのワークステーションでsc configコマンドを実行します。)
Windows統合認証のデータベースの設定手順の詳細は、次の項を参照してください。
・ Windows統合認証でレポーティングを使用するためのOracle Databaseの設定
・ Windows統合認証でレポーティングを使用するためのMicrosoft SQL Serverの設定
Oracle Database構成の概要
Oracle Databaseでレポーティングが動作するよう正常に構成するため従う必要のある手順の簡単な概要を次に示します。
・ Oracle Databaseユーザーの作成
・ データベース表の作成およびストアド・プロシージャの設定
・ 接続文字列の作成
・ クライアント・マシンでのOracle Databaseの構成
・ 次の手順
Reporting Administrative Consoleユーザーの作成
1つのユーザーを作成して、アカウントに適切な権限を付与する必要があります。このユーザーがSSOデータベース表所有者になります。
ユーザーを作成するデータベースを起動して、SQL*Plusツールに次のコマンドを入力します。
SQL> create user username identified by password default tablespace user_tablespace temporary tablespace temp_tablespace;
user_tablespaceは、データベース管理者によってユーザーオブジェクトを格納するために識別されるデフォルトの表領域で、temp_tablespaceは、一時オブジェクトを格納するために識別されます。
例:
1. SQL*Plus (Oracle SQLコマンドライン・ツール)を起動して、次のコマンドを入力してログインします。$ sqlplus
2. [Enter]を押します。
3. ユーザー名: username/password@dbname
(usernameは、データベースの既存の管理ユーザー)を入力します。たとえば、system/managerは、パスワードmanagerの管理ユーザーsystemがデフォルトのデータベースにログインします。
4. ユーザーを作成し、これら2つのデフォルトのロールおよびそれに対応するデフォルトの権限を作成したユーザーに付与して、SQLコマンドライン・ツールからログアウトします。
SQL> create user orauser identified by oracle default tablespace USERS temporary tablespace TEMP;
SQL> grant CONNECT, RESOURCE, CREATE ANY DIRECTORY, CREATE PROCEDURE to orauser;
SQL> exit
データベース表の作成およびストアド・プロシージャの設定
Oracle Databaseユーザーの作成後に、指定したスクリプトOracle_Setup.sqlを実行して、次を行います。
・ 既存のものをアップグレードするかまたは新しいデータベース表を作成します。
・ 既存のものをアップグレードするかまたは新しいストアド・プロシージャを設定します。
StoredProcedures.javaファイルの場所(はじめはD:\orcl_scriptsに設定されています)に関して、スクリプトを一部変更する必要がある場合があります。違う場所を使用することを計画している場合、この変更を行う正確な行数については、スクリプトのコメント・ヘッダーを参照してください。
StoredProcedures.javaの場所を更新すると(必要に応じて)、SQL*Plus (Oracle SQLコマンドライン・ツール)を使用した次のスクリプトを実行して、残りのタスクを実行する準備ができます。
$ sqlplus <username>/<user password> < <path_to_file>\Oracle_Setup.sql
usernameはorauser、user_passwordはoracle、path_to_fileはSQLスクリプト・ファイルのパスです。
例:
$ sqlplus orauser/oracle < Oracle_Setup.sql
または
C:\>sqlplus orauser/oracle < C:\oracle_setup\Oracle_Setup.sql
接続文字列の作成
この項では、次の項「クライアント・マシンでのOracle Databaseの構成」で使用する接続文字列を作成します。
1. Windows Explorerを開き、.udlファイルを格納するフォルダへナビゲートします。
2. 「File」メニューから、「New」をクリックして、「Text Document」をクリックします。New Text Document.txtという名前の新しいファイルがディレクトリに表示されます。
3. すべての空白を削除し、ファイル拡張子をUniversal Data Linkの.udlに変更して、このファイルの名前を変更します。
4. Universal Data Link (.udl)ファイルをダブルクリックします。「Data Link Properties」ダイアログが開きます。
5. 「Provider」タブで、「Oracle Provider for OLE DB」を選択してから、「Next」をクリックします。
6. 「Connection」タブで、「Data Source」、「User name」および「Password」を入力します。「Allow saving password」チェックボックスをチェックして、「Test Connection」をクリックします。例: Data Source: ORCL、User name: orauser、Password: oracle
7. テスト接続が成功したことを示すメッセージが表示されます。「OK」をクリックします。
8. 「OK」をクリックして、接続文字列をUniversal Data Link (.udl)ファイルに保存します。
9. ノートパッドで.udlファイルを開きます。このガイドの次の項では、接続文字列の入力について説明します。この文字列をコピーおよび貼付けして、「Connection String」フィールドに入力します。
前述の完全な接続文字列は、次のように読み込みます。
クライアント・マシンでのOracle Databaseの構成
|
|
64ビット・システムにLogon Managerをインストールし、Reporting ServiceにOracle Databaseのイベント・データを格納するよう構成する場合、32ビット・バージョンのOracle Databaseクライアントをターゲット・エンドユーザー・マシンにインストールする必要があり、インストールしていない場合、Reporting Serviceは、Oracle Databaseに接続することができません。
|
1. Oracle Provider for OLE DBを持つOracleクライアントまたはOracle Data Access Components for Oracle Clientのいずれかをインストールします。
または
2. 次に、Oracleサーバーに接続するためにOracleクライアントを構成します。次のファイルを編集または作成します。
<Oracle Home\client_1\Network\Admin\tnsnames.ora:
“# tnsnames.ora: Network Configuration File:
C:\oracle\product\11.1.0\client_1\NETWORK\ADMIN\tnsnames.ora
# Generated by Oracle configuration tools.
ORCL =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = <oracle host server name>)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = ORCL)
)
)
3. 「スタート」→「プログラム」→「Oracle」→「Oracle Enterprise Single Sign-On Administrative Console」の順にクリックして、Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
4. ツリーで、「Global Agent Settings」を右クリックして、「Import」をクリックしてから、「From Live HKLM」をクリックします。
5. 「Global Agent Settings」→「Live」の下で、「Audit Logging」→「Reporting Server」を開きます。
6. 前述の項で作成した接続文字列をコピーおよび貼付けします。例:
"Provider=OraOLEDB.Oracle.1;Password=<password>;Persist Security Info=True;User ID=<user name>;Data Source=ORCL"
7. ストアド・プロシージャの設定を次のように設定します。
"SP_WRITEEVENTS"
8. 「Live」を右クリックして、「Write to Live HKLM」をクリックします。
9. Oracle Enterprise Single Sign-On Administrative Consoleを閉じます。
Windows統合認証でレポーティングを使用するためのOracle Databaseの設定
ReportingでWindows統合認証を使用するには、レポーティング・データベース(Microsoft SQL ServerまたはOracle)への書込み権限を持つドメイン・ユーザーとして、ESSO Reporting Serviceを実行する必要があります。ワークステーションでドメイン・ユーザーとしてサービスを実行するには、ユーザーは、「Log on as Service」権限を持っている必要があります。
ドメイン・コントローラで、設定がすべてのクライアント・コンピュータへ公開されるように、この設定を(次のように)変更できます。
データベースにイベントを書き込むActive Directoryドメイン・ユーザーの作成
Active Directoryにユーザーを作成します(これ以降、レポーティング・ドメイン・ユーザーと呼びます)。このユーザーに、レポーティング・イベントをデータベースに書き込む権限を付与します。.
レポーティング・ドメイン・ユーザーがサービスとしてログオンすることを許可するためのデフォルトのドメイン・ポリシーの変更
|
|
デフォルトのドメイン・ポリシーを編集する前に、現在のグループ・ポリシーのバックアップを作成することをお薦めします。バックアップを作成するには、コンソール・ツリーで、Domains/Current Domain Name/Group Policyオブジェクトを開きます。デフォルトのドメイン・ポリシーを右クリックして、コンテキスト・メニューから、「Back Up」を選択します。
|
ドメインに接続しているすべてのクライアント・コンピュータに、この設定が定義されるように、ドメイン・コントローラでデフォルトのドメイン・ポリシーを変更します。
|
|
グループ・ポリシーは、ドメイン全体で、ローカル・ポリシーを上書きします。ローカル・アカウントがサービスとしてログオンするように構成する必要がある場合、この手順のグループ・ポリシー管理コンソールのドキュメントを参照してください。
|
1. ドメイン・コントローラで、「Start」をクリックし、「Run」をクリックして、gpmc.mscを入力してから、「OK」をクリックします。
2. コンソール・ツリーで、「Domains」→「Current Domain Name」→「Group Policy Objects」を開きます。デフォルトのドメイン・ポリシーを右クリックして、コンテキスト・メニューから、「Edit」を選択します。
3. 「Group Policy Management Editor」のコンソール・ツリーで、「Computer Configuration」→「Policies」→「Windows Settings」→「Security Settings」→「Local Policies」→「User Rights Assignment」に移動します。
4. 詳細ペインで、「Log on as a service」をダブルクリックします。
5. 「Define this policy setting」チェック・ボックスが選択されていることを確認して、「Add User or Group」をクリックします。「User and group names」フィールドに、レポーティング・ドメイン・ユーザーを入力します。
6. 完了したら、「OK」をクリックします。
グループ・ポリシーの変更をすぐに適用するには、次の手順を実行します。
・ ドメイン・コントローラを再起動します。
または
・ コマンド・プロンプトを開き、gpupdate /forceを入力します。その後、[Enter]を押します。
クライアント・マシンでのActive Directory権限の公開の確認
|
|
ドメイン・ユーザーがサービスとしてログインすることを許可するようActive Directoryドメインまたはローカル・コンピュータの権限を変更する詳細は、Microsoftの技術的な注意事項も参照してください。
|
1. コマンド・プロンプトを開き、gpupdate /forceコマンドを入力することで、クライアントが更新されていることを確認します。この手順の詳細は、Microsoftテクニカル・ライブラリを参照してください。
2. 「Administrator Tools」→「Local Security Policy」へ移動します。
3. 「Local Security Policy」で、「Security Settings」→「Local Policies」→「User Rights Assignment」(次の図を参照)へ移動します。
4. 詳細パネルで、更新された「Log on as a service」ポリシーを確認します。この権限を持つユーザー間にレポーティング・ドメイン・ユーザーが含まれている必要があります。
このドメイン・ユーザーとして実行するためのクライアント・マシンでのESSO Reporting Serviceの構成
|
|
ESSO Reporting Serviceが実行しているすべてのクライアント・コンピュータで、次の手順を実行します。
|
ESSO Reporting Serviceをレポーティング・ドメイン・ユーザー・アカウントで実行するよう構成するには:
1. コマンド・プロンプトを開き、次のコマンドを入力します。
sc config "SSO Reporting Service" obj= "Domain\User" password= "password"
2. [Enter]を押します。
このコマンドにより、次の出力が戻されます。
[SC] ChangeServiceConfig SUCCESS
3. ESSO Reporting Serviceを再起動します。
a. コマンド・プロンプトを開き、次のコマンドを入力します。
net stop "SSO Reporting Service" && net start "SSO Reporting Service"
b. [Enter]を押します。
このコマンドにより、次の出力が戻されます。
The ESSO Reporting Service service is stopping.
The ESSO Reporting Service service was stopped successfully.
The ESSO Reporting Service service is starting.
The ESSO Reporting Service service was started successfully.
|
|
クライアント・コンピュータのサービス・コンソールにアクセスすることで、UIを介して同じ結果を取得することができます。
|
統合認証用のサーバーの設定
Windows認証プロトコルの確認
sqlnet.oraファイルのSQLNET.AUTHENTICATION_SERVICESエントリがNTSを読み込むことを確認します。この設定は、クライアントおよびデータベース・サーバーの両方で変更する必要があります。sqlnet.oraファイルを編集または作成する必要があります。このファイルは次の場所にあります。
ORACLE_BASE\ORACLE_HOME\network\admin\sqlnet.ora
ドメイン・ユーザーへの外部Oracleユーザーの作成
Oracle Databaseで外部として識別される新しいレポーティング・ドメイン・ユーザーを作成し、アカウントに適切な権限を付与する必要があります。
|
|
外部オペレーティング・システム・ユーザー、の手動での作成、Oracle databaseサーバーでの外部ユーザー認証タスク、クライアント・コンピュータでの外部ユーザー認証タスクおよびその他の詳細は、Oracle Databaseプラットフォーム・ガイドを参照してください。
HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOMEIDでOSAUTH_PREFIX_DOMAINをtrueに設定し、ドメイン・レベルでの認証を有効にします(IDは、編集するOracleホーム・ディレクトリです)。詳細は、Oracle Databaseプラットフォーム・ガイドのOracle Databaseでの外部ユーザー認証タスクに関する説明を参照してください。
|
1. Oracle Databaseがインストールされている(またはインストールする)ワークステーションで、新しいレポート・ドメイン・ユーザーに管理権限を付与します(例、domainname\username)。
2. 新しいレポート・ドメイン・ユーザーとしてこのワークステーションへログオンします。
3. SQLPLUSを起動して、プロンプトでSYSDBAとしてログオンします。
4. 外部として識別されるレポーティング・ドメイン・ユーザーを作成します(次のSQL構文を参照)。作成したユーザーに必要な権限を付与し、SQLコマンドライン・ツールからログアウトします。
次の構文を使用して、ユーザーを作成します。
SQL> create user username identified externally default tablespace user_tablespace temporary tablespace temp_tablespace;
user_tablespaceは、データベース管理者によってユーザーオブジェクトを格納するために識別されるデフォルトの表領域で、temp_tablespaceは、一時オブジェクトを格納する場所です。
ユーザー名の形式はOPS$DOMAINNAME/USERNAMEです。
・ OPS$は、データベースのOS_AUTHENT_PREFIXセットの値です。
・ DOMAINNAMEは、ドメイン名です。
および
・ USERNAMEは、Reporting Serviceを実行する権限を持つレポート・ユーザーです。
次の例は、Oracle Database 11gを使用して作成されています。
例
SQL> CREATE USER "OPS$ESSOIDCQA\REPORTUSER1" IDENTIFIED EXTERNALLY DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP;
User created.
SQL> GRANT CONNECT, RESOURCE, CREATE ANY DIRECTORY, CREATE PROCEDURE TO "OPS$ESSOIDCQA\REPORTUSER1";
Grant succeeded.
SQL> EXIT
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
C:\Users\reportuser1>
上述の例では、OPS$は、OS_AUTHENT_PREFIX接頭辞値で、REPORTUSER1 は、ESSOIDCQA ドメインで定義されたユーザー名です。
ユーザーに、CONNECT、RESOURCE、CREATE ANY DIRECTORYおよびCREATE PROCEDURE権限を付与します。
Windowsドメイン・ユーザーESSOIDCQA\REPORTUSER1 (つまり、レポーティング・ドメイン・ユーザー)は、このドメイン・ユーザーがマシンにログオンしている場合およびWindows認証プロトコルが設定されている場合に、Oracle Databaseにログオンできます。
次の手順で、これらの条件を確認します。
・ 新しいユーザー(ここでは、ESSOIDCQA\REPORTUSER1)でシステムへログオンしていることを確認します。
・ Windows認証プロトコルが正しく設定されていることを確認します。つまり、SQLNETです。
sqlnet.oraファイルのAUTHENTICATION_SERVICESエントリは、NTSを読み込みます。
・ コマンド・プロンプトを開き、sqlplus /@ORCLを入力します(ORCLは、システムのtnsnames.oraファイルで定義されたnet_service_nameです)。
・ 適切に構成されている場合、sqlplusでは、ユーザー名およびパスワードを求めることなく、ユーザーがログオンできます。ログオンしてから、sqlplusプロンプトにSHOW USERを入力します。これは、現在のログオン・ユーザーを表示します。
例
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation.All rights reserved.
C:\Users\reportuser1>SQLPLUS /@ORCL
SQL*Plus: Release 11.2.0.1.0 Production on Fri May 11 07:43:12 2012
Copyright (c) 1982, 2010, Oracle.All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SQL> SHOW USER
USER is "OPS$ESSOIDCQA\REPORTUSER1"
SQL>
|
|
次の例に示すように、SHOW PARAMETER OS_AUTHENT_PREFIXコマンドを使用して、データベースのOS_AUTHENT_PREFIXセットの値を変更できます。デフォルトでは、OPS$に設定されています。この値を任意の文字列に変更できます。詳細は、Oracle Databaseプラットフォーム・ガイドを参照してください。
|
C:\Users\reportuser1>SQLPLUS /NOLOG
SQL*Plus: Release 11.2.0.1.0 Production on Thu May 10 10:33:49 2012
Copyright (c) 1982, 2010, Oracle.All rights reserved.
SQL> CONNECT SYS AS SYSDBA
Enter password:
Connected.
SQL> SHOW PARAMETER OS_AUTHENT_PREFIX
NAME TYPE VALUE
------------------------------------ ----------- ------------------------
os_authent_prefix string OPS$
SQL>
ReportingでのOracle Databaseの設定
Oracle Databaseシステムに設定されているレポーティング・データベースの既存のインストールについては、アップグレードのセクションの手順に従います。新しいデータベースのインストールについては、新しい設定のセクションの手順に従います。
既存のOracle Database設定のアップグレード
レポーティング・ドメイン・ユーザー・アカウントで、統合認証を使用して、ESSO Reporting Serviceのバージョン11.1.2を実行するには、次の手順を実行します。
・ データベース表スキーマをアップグレードします。Upgrade the Database Tables Schema.
・ 新しいレポーティング・ドメイン・ユーザー・アカウントで、必要なOracleオブジェクトにアクセスできるように、適切な権限を付与します。
・ パブリックのSYNONYM for SP_WRITEEVENTSを作成します。
既存のデータベース表およびストアド・プロシージャのアップグレード
SSOデータベース表所有者として、指定されたスクリプトOracle_Setup.sqlを実行します。
StoredProcedures.javaファイルの元の場所は、D:\orcl_scriptsです。違う場所を使用することを計画している場合、この変更を行う正確な行数については、スクリプトのコメント・ヘッダーを参照してください。
(必要に応じて)StoredProcedures.javaの場所を更新した後、SQL*Plus (Oracle SQLコマンドライン・ツール)を使用した次のスクリプトを実行して、残りのタスクを実行します。
$ sqlplus <username>/<user password> < <path_to_file>\Oracle_Setup.sql
username は既存のSSOデータベース表所有者、user_passwordはそのユーザーのパスワード、path_to_fileはSQLスクリプト・ファイルへのパスです。
例
$ sqlplus orauser/oracle < Oracle_Setup.sql
または
C:\>sqlplus orauser/oracle < C:\oracle_setup\Oracle_Setup.sql
新しいレポーティング・ドメイン・ユーザーへの必要な権限の提供
SP_WRITEEVENTSでの新しいレポーティング・ドメイン・ユーザーの実行権限を許可します。
既存のorauserアカウントおよびパスワードでSqlPlusにログインします。orauserは、SSOデータベース表所有者です。
次のコマンドを使用して、新しいレポーティング・ドメイン・ユーザーOPS$DOMAINNAME\USERNAMEにSP_WRITEEVENTSでの実行権限を付与します。
GRANT EXECUTE ON SP_WRITEEVENTS TO “username”;
ユーザー名の形式は、OPS$DOMAINNAME\USERNAMEで、OPS$はデータベースのOS_AUTHENT_PREFIXの値、DOMAINNAME はドメインの名前、USERNAMEはReporting Serviceを実行する権限を持つレポーティング・ユーザーです。
例
C:\Users\reportuser1>SQLPLUS orauser/oracle@ORCL
SQL*Plus: Release 11.2.0.1.0 Production on Mon May 14 11:03:45 2012
Copyright (c) 1982, 2010, Oracle.All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SQL> SHOW USER
USER is "ORAUSER"
SQL> GRANT EXECUTE ON SP_WRITEEVENTS TO "OPS$ESSOIDCQA\REPORTUSER1";
Grant succeeded.
SQL> QUIT
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SP_WRITEEVENTSのパブリック・シノニムの作成
SYSDBAとしてSQLPLUSへログインし、次の構文を使用して、SP_WRITEEVENTSにパブリック・シノニムを作成します。
CREATE OR REPLACE PUBLIC SYNONYM SP_WRITEEVENTS FOR USERNAME.SP_WRITEEVENTS;
USERNAME は、SSOデータベース表所有者およびReporting用のOracle Databaseの初期設定で使用する権限を持つアカウントです。
例
C:\Users\reportuser1>SQLPLUS /NOLOG
SQL*Plus: Release 11.2.0.1.0 Production on Mon May 14 11:15:35 2012
Copyright (c) 1982, 2010, Oracle.All rights reserved.
SQL> CONNECT SYS AS SYSDBA
Enter password:
Connected.
SQL> CREATE OR REPLACE PUBLIC SYNONYM SP_WRITEEVENTS FOR ORAUSER.SP_WRITEEVENTS;
Synonym created.
SQL> QUIT
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
|
|
シノニムの作成の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
|
ESSO Reporting Service用の新しいOracle Databaseの設定
Oracle Databaseで外部として識別されるレポーティング・ドメイン・ユーザーを作成した後、指定されたスクリプトOracle_Setup.sqlを実行して、次を行います。
・ 新しいデータベース表を作成します。
・ 必要な関数などを設定します。
新しいレポーティング・ドメイン・ユーザーの統合認証を使用してOracle_Setup.sqlを実行します。このスクリプトの実行後、このユーザーは、ESSOデータベース表所有者になります。
StoredProcedures.javaファイルの元の場所は、D:\orcl_scriptsです。違う場所を使用することを計画している場合、この変更を行う正確な行数については、スクリプトのコメント・ヘッダーを参照してください。
(必要に応じて)StoredProcedures.javaの場所を更新した後、SQL*Plus (Oracle SQLコマンドライン・ツール)を使用した次のスクリプトを実行して、残りのタスクを実行します。
sqlplus / < <path_to_file>\Oracle_Setup.sql
path_to_fileは、SQLスクリプト・ファイルへのパスです。
|
|
レポーティング・ドメイン・ユーザーとしてシステムへログオンしていることを確認します。プロンプトでスラッシュ(/)を指定した場合、SQL*Plusのユーザー名またはパスワードを入力する必要はありません。現在のユーザーは、適切な権限でOracle Databaseマシンへ自動的にログオンします。
|
スクリプトの実行例
C:\Users\reportuser1>sqlplus / < C:\oracle_setup\Oracle\Oracle_Setup.sql
統合ログインの接続文字列の作成
.udlファイルを使用して、他のOracle Databaseユーザーと同様に、統合ログイン・ユーザーに接続文字列を作成します。統合ログイン・ユーザーでは、ユーザー名またはパスワードを指定しないでください。ユーザー名を/として入力し、接続をテストします。
|
|
Oracle Databaseで外部ユーザーとして識別されるレポート・ドメイン・ユーザーとしてシステムにログオンして、sqlnet.oraファイルのAUTHENTICATION_SERVICESがNTSに設定されていることを確認します。
|
接続文字列は、次のように読み込みます。
Provider=OraOLEDB.Oracle.1;Persist Security Info=False;User ID=/;Data Source=ORCL
クライアント・マシンでのOracle Databaseの構成
この手順については、Oracleクライアントおよびサーバーの構成に関する項を参照してください。
sqlnet.oraファイルのSQLNET.AUTHENTICATION_SERVICESパラメータが、クライアントおよびサーバーの両方でNTSに設定されていることを確認します。
クライアント・コンピュータでの外部ユーザー認証タスクおよびその他の詳細は、Oracle Databaseプラットフォーム・ガイドを参照してください。
|
|
レポーティング用のデータベースを使用すると、アクティブ・ユーザーと同じ数の接続が確立されることを覚えておくことが重要です。これは、メモリー要件(パフォーマンス)およびストレージ要件(記録されたデータ)に大幅な影響を与えます。
|
次の手順
エージェントで、イベントをレポートするように、およびデータベースにそれらを格納するように構成した後、BI Publisherを構成して、公開用に場所を特定します。これらの手順を続行します。
Microsoft SQL Serverの構成の概要
SQLデータベースでレポーティングが動作するよう正常に構成するため従う必要のある手順の簡単な概要を次に示します。
・ データベース表の作成およびストアド・プロシージャの設定
・ レポーティング・データベース・ユーザーの作成
・ Reporting Administrative Consoleへのログオン権限の設定
・ SQLユーザーとしてのドメイン・コンピュータの設定
・ TCP/IPプロトコルの有効化
・ 次の手順
データベース表の作成およびストアド・プロシージャの設定
次の手順では、SQL Serverデータベースにデータベース表およびストアド・プロシージャを作成します。アップグレードおよび新規のインストールの両方で、これらの手順を実行する必要があります。
1. SQL Server 2005または2008を開きます。「すべてのプログラム」→「Microsoft SQL Server 2005 (または2008)」→「SQL Server Management Studio」をクリックします。
2. デフォルトであるWindows認証を使用して、データベースに接続します。
3. 左側のペインで、「Database」へ移動します。
4. 「Database」で右クリックし、「New Database」を選択します。「New Database」ダイアログが開きます。
5. 「Database name」(PLXReportingなど)を入力して、「OK」をクリックします。PLXReportingデータベースが「Database」の下に表示されます。
|
|
データベースは、問合せおよびストアド・プロシージャで名前の一貫性が保たれているかぎり、任意の名前を持つことができます。
|
6. PLXReporting を右クリックして、「New Query」を選択します。
7. SQL Serverで次のスクリプトを実行して、データベースにESSO.Reporting.MSSQL.Decoding.dllの配置場所を指示します。
・ SQL Server 2005の場合
DECLARE @AssemblyPath nvarchar(1024)
SELECT @AssemblyPath = REPLACE(physical_name,
'Microsoft SQL Server\MSSQL.1\MSSQL\DATA\master.mdf',
'Microsoft SQL Server\MSSQL.1\CLR\')
FROM master.sys.database_files WHERE name = 'master';
SELECT @AssemblyPath
・ SQL Server 2008 R2の場合
DECLARE @AssemblyPath nvarchar(1024)
SELECT @AssemblyPath = REPLACE(physical_name,
'Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\master.mdf',
'Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\CLR\')
FROM master.sys.database_files WHERE name = 'master';
SELECT @AssemblyPath
|
|
この問合せの結果は、ファイルESSO.Reporting.MSSQL.Decoding.dllの正しいパスを提供します。この情報を受信した後、このファイルを配置するフォルダを作成します。
1. 上述の問合せから得たパスを参照します。
2. CLRという名前のフォルダを作成します。
3. このフォルダにESSO.Reporting.MSSQL.Decoding.dllを配置します。
|
8. Reportingパッケージに配置されているMSSQL_Setup.sqlファイルを開きます。「New Query」パネルにファイルのコンテンツをコピーします。
|
|
問合せのUse文の後のデータベース名は、前述の手順5で入力したデータベース名と一致する必要があります。
|
9. ワークステーション・ペインの上部にある「Execute」をクリックします。完了時に、右側のペインの下部に成功メッセージが表示されます。
You have completed creation of the Database table dbo.tblEventsLog, under PLXReporting ? Tables, and the stored procedures.
レポーティング・データベース・ユーザーの作成
1. SQL Server Management Studioの左側のペインで、上位ノード(サーバー名)を展開し、「Security」→「Logins」へナビゲートします。
2. 「Logins」を右クリックし、「New Login」を選択します。
3. 「New Login」ダイアログで、次の操作を実行します。
a. 「SQL Server Authentication」を選択します。
b. ログイン名およびパスワードを入力します。
c. 「User must change password and next login」の選択を解除します。
d. 左側のペインで「User Mapping」を選択します。
e. レポーティング・データベース(この場合、PLXReporting)を選択します。
f. "public"以外のすべてのサーバー・ロールの選択が解除されていることを確認します。
g. db_datareaderおよびdb_datawriterを有効化します。
4. 「OK」をクリックします。
ドメイン・コンピュータの設定
次の手順では、Reporting Serviceをデータベースに接続するよう構成します。
1. SQL Server Management Studioの左側のペインで、上位ノード(サーバー名)を展開し、「Security」→「Logins」へナビゲートします。
2. 「Logins」を右クリックし、「New Login」を選択します。
3. 「New Login」ダイアログで、「Login Name」フィールドに<Domain>\Domain Computersを入力してから、「Windows Authentication」を選択します。
4. 左側のペインで「User Mapping」を選択します。
5. 右側のペインで、次の画面に示すように、レポーティング・データベース(この場合はPLXReporting) を選択します。
6. db_datareaderおよびdb_datawriterを有効化します。
7. 「OK」をクリックします。
Reporting Administrative Consoleへのログオン権限の設定
1. SQL Server Management Studioの左側のペインで、データベース名(この場合はPLXReporting)を右クリックし、左側のペインで「Properties」→「Permissions」を選択します。
2. レポーティング・データベースにアクセスするために作成したユーザー(この場合はdbuser)を選択します。
3. 次の画面に示すように、「Grant」列で「Connect」、「Execute」および「Select」が有効化されていることを確認します。
4. 「OK」をクリックします。
5. レポーティング・データベースを右クリックし、「Properties」を選択します。
6. 左側のペインから「Permissions」を選択します。
7. <Domain>\Domain Computersを選択します。
8. 次の画面に示すように、「Grant」列で「Connect」および「Execute」が有効化されていることを確認します。
9. 「OK」をクリックします。
10. 最上位ノードから「Security」→「Logins」に移動します。
11. 「Logins」の下で、レポーティング・コンソールにアクセスするために作成したユーザー(この場合はdbuser)を選択し、右クリックして、「Properties」を選択します。
12. 左側のペインから「Server Roles」を選択し、"public"以外のすべての選択が解除されていることを確認します。
13. 最上位ノードから「Security」→「Logins」に移動します。
14. 「Logins」の下で、<Domain>\Domain Computersを選択し、右クリックして、「Properties」を選択します。
15. 左側のペインから「Server Roles」を選択します。
16. "public"以外のすべての選択が解除されていることを確認します。
SQL 2008 Server R2でのTCP/IPプロトコルの有効化
|
|
この手順は、SQL 2008 Server R2にのみ適用されます。
|
1. SQL Server Configuration Managerで、「SQL Server Network Configuration」を選択します。
2. MSSSQLSERVERのプロトコルを選択します。
3. 右側のペインで、プロトコル名の下で、TCP/IPが有効であることを確認します。
|
|
レポーティング用のデータベースを使用すると、アクティブ・ユーザーと同じ数の接続が確立されることを覚えておくことが重要です。これは、メモリー要件(パフォーマンス)およびストレージ要件(記録されたデータ)に大幅な影響を与えます。
|
Windows統合認証でレポーティングを使用するためのMicrosoft SQL Serverの設定
ReportingでWindows統合認証を使用するには、レポーティング・データベース(Microsoft SQL ServerまたはOracle)への書込み権限を持つドメイン・ユーザーとして、ESSO Reporting Serviceを実行する必要があります。ワークステーションでドメイン・ユーザーとしてサービスを実行するには、ユーザーは、「Log on as Service」権限を持っている必要があります。
ドメイン・コントローラで、設定がすべてのクライアント・コンピュータへ公開されるように、この設定を(次のように)変更できます。
データベースにイベントを書き込むActive Directoryドメイン・ユーザーの作成
Active Directoryにユーザーを作成します(これ以降、レポーティング・ドメイン・ユーザーと呼びます)。このユーザーに、レポーティング・イベントをデータベースに書き込む権限を付与します。.
レポーティング・ドメイン・ユーザーがサービスとしてログオンすることを許可するためのデフォルトのドメイン・ポリシーの変更
|
|
デフォルトのドメイン・ポリシーを編集する前に、現在のグループ・ポリシーのバックアップを作成することをお薦めします。バックアップを作成するには、コンソール・ツリーで、Domains/Current Domain Name/Group Policyオブジェクトを開きます。デフォルトのドメイン・ポリシーを右クリックして、コンテキスト・メニューから、「Back Up」を選択します。
|
ドメインに接続しているすべてのクライアント・コンピュータに、この設定が定義されるように、ドメイン・コントローラでデフォルトのドメイン・ポリシーを変更します。
|
|
グループ・ポリシーは、ドメイン全体で、ローカル・ポリシーを上書きします。ローカル・アカウントがサービスとしてログオンするように構成する必要がある場合、この手順のグループ・ポリシー管理コンソールのドキュメントを参照してください。
|
1. ドメイン・コントローラで、「Start」をクリックし、「Run」をクリックして、gpmc.mscを入力してから、「OK」をクリックします。
2. コンソール・ツリーで、「Domains」→「Current Domain Name」→「Group Policy Objects」を開きます。デフォルトのドメイン・ポリシーを右クリックして、コンテキスト・メニューから、「Edit」を選択します。
3. 「Group Policy Management Editor」のコンソール・ツリーで、「Computer Configuration」→「Policies」→「Windows Settings」→「Security Settings」→「Local Policies」→「User Rights Assignment」に移動します。
4. 詳細ペインで、「Log on as a service」をダブルクリックします。
5. 「Define this policy setting」チェック・ボックスが選択されていることを確認して、「Add User or Group」をクリックします。「User and group names」フィールドに、レポーティング・ドメイン・ユーザーを入力します。
6. 完了したら、「OK」をクリックします。
グループ・ポリシーの変更をすぐに適用するには、次の手順を実行します。
・ ドメイン・コントローラを再起動します。
または
・ コマンド・プロンプトを開き、gpupdate /forceを入力します。その後、[Enter]を押します。
クライアント・マシンでのActive Directory権限の公開の確認
|
|
ドメイン・ユーザーがサービスとしてログインすることを許可するようActive Directoryドメインまたはローカル・コンピュータの権限を変更する詳細は、Microsoftの技術的な注意事項も参照してください。
|
1. コマンド・プロンプトを開き、gpupdate /forceコマンドを入力することで、クライアントが更新されていることを確認します。この手順の詳細は、Microsoftテクニカル・ライブラリを参照してください。
2. 「Administrator Tools」→「Local Security Policy」へ移動します。
3. 「Local Security Policy」で、「Security Settings」→「Local Policies」→「User Rights Assignment」(次の図を参照)へ移動します。
4. 詳細パネルで、更新された「Log on as a service」ポリシーを確認します。この権限を持つユーザー間にレポーティング・ドメイン・ユーザーが含まれている必要があります。
このドメイン・ユーザーとして実行するためのクライアント・マシンでのESSO Reporting Serviceの構成
|
|
ESSO Reporting Serviceが実行しているすべてのクライアント・コンピュータで、次の手順を実行します。
|
ESSO Reporting Serviceをレポーティング・ドメイン・ユーザー・アカウントで実行するよう構成するには:
1. コマンド・プロンプトを開き、次のコマンドを入力します。
sc config "SSO Reporting Service" obj= "Domain\User" password= "password"
2. [Enter]を押します。
このコマンドにより、次の出力が戻されます。
[SC] ChangeServiceConfig SUCCESS
3. ESSO Reporting Serviceを再起動します。
a. コマンド・プロンプトを開き、次のコマンドを入力します。
net stop "SSO Reporting Service" && net start "SSO Reporting Service"
b. [Enter]を押します。
このコマンドにより、次の出力が戻されます。
The ESSO Reporting Service service is stopping.
The ESSO Reporting Service service was stopped successfully.
The ESSO Reporting Service service is starting.
The ESSO Reporting Service service was started successfully.
|
|
クライアント・コンピュータのサービス・コンソールにアクセスすることで、UIを介して同じ結果を取得することができます。
|
統合認証用のMicrosoft SQL Serverの設定
Microsoft SQL Server統合認証で次の手順を実行する前に、このガイドのSQLデータベース構成のセクションの「データベース表の作成およびストアド・プロシージャの設定」で示す手順を完了する必要があります。アップグレードおよび新規のインストールの両方で、これらの手順を実行する必要があります。
Microsoft SQL Databaseでの新しいレポーティング・ドメイン・ユーザーのログインおよびロールの構成
1. SQL Server Management Studioの左側のペインで、上位ノード(サーバー名)を展開し、「Security」→「Logins」へナビゲートします。
2. 「Logins」を右クリックし、「New Login」を選択します。
3. 「New Login」ダイアログで、次の手順を実行します。
a. 「Windows authentication」を選択します。ログイン名としてレポーティング・ドメイン・ユーザーを入力します。
b. 左側のペインで「User Mapping」を選択します。
c. レポーティング・コンソール・ユーザーをPLXReportingデータベースにマップします。
d. レポーティング・コンソール・ユーザーに対してdb_datareaderおよびdb_datawriterロール・メンバーシップを有効化します。
e. 左側のペインから「Server Roles」を選択します。
f. "public"以外のすべてのロールの選択が解除されていることを確認します。
4. 「OK」をクリックします。
レポーティング・ドメイン・ユーザーの権限の設定
1. SQL Server Management Studioの左側のペインで、上位ノード(サーバー名)を右クリックして、「Properties」を選択します。
2. 「Properties」ダイアログで、左側のペインから「Security」を選択します。
3. 「SQL Server and Windows Authentication mode」ラジオ・ボタンを選択します。
4. 左側のペインから「Permissions」を選択します。
5. 「Logins or roles」セクションで、ユーザー(前述の項で作成したレポーティング・ドメイン・ユーザー)を作成します。
6. 下部のペイン「Explicit Permissions for <name>」で、「Connect SQL」権限で「Grant」が有効であることを確認します。
|
|
レポーティング用のデータベースを使用すると、アクティブ・ユーザーと同じ数の接続が確立されることを覚えておくことが重要です。これは、メモリー要件(パフォーマンス)およびストレージ要件(記録されたデータ)に大幅な影響を与えます。
|
次の手順
エージェントで、イベントをレポートするように、およびデータベースにそれらを格納するように構成した後、BI Publisherを構成して、公開用に場所を特定します。これらの手順を続行します。
レポーティングとともにデプロイするためのOracle Business Intelligence Publisherの構成
Reportingサービスでは、Oracle Business Intelligence (BI) Publisherを使用して、収集したデータのレポートを生成します。この手順では、BI Publisherで、Reporting Serviceからのデータを受信するよう構成する方法について説明します。このツールの使用の詳細は、BI Publisherのマニュアルを参照してください。
BI Publisher 11gがすでにインストール済であることを前提としています。
BI Publisherの構成
1. ブラウザで、BI Publisher(通常のURLは、http://<host>:7001/xmlpserver)を開きます。
2. 管理者アカウントの資格証明を送信します。
3. BI Publisherウィンドウで、「管理」メニューを選択します。
4. 「データソース」の下で、「JDBC接続」を選択します。
5. 「データソースの追加」をクリックします。
6. データ・ソース名に、ESSOReportingDBを入力します。次の例のように、レポーティング・データベース接続情報を提供します。
・ Oracle 11g接続情報の例:
・ Microsoft SQL Server 2005データベース接続情報の例:
7. 「接続のテスト」をクリックして、接続が動作していることを確認します。テストが成功すると、確認メッセージが表示されます。
8. 「セキュリティ」セクションで、ESSOReportingDBデータ・ソースへのアクセス権を持つロールを設定します。
9. 「適用」をクリックして、設定を保存します。
10. 「管理」ページの「システム・メンテナンス」の下で、「サーバー構成」を選択します。
11. 「カタログ」セクションで、カタログ・タイプ「Oracle BI Publisher - ファイル・システム」を選択して、ハードディスク・ドライブでフォルダを設定します。このフォルダは、レポートの格納に使用されます。
次のセクションに進み、Oracle Enterprise Single Sign-On Suite PlusレポートをBusiness Intelligence Publisherに追加します。
レポーティングのデプロイ
1. ハードディスク・ドライブで、BI Publisherカタログ・フォルダを開きます。
2. この場所にReportsフォルダを作成します。BI Publisherは、BIPublisherCatalogディレクトリ内でReportsフォルダを検索するので、このフォルダを正しい場所に作成することが重要です。
3. Oracle Enterprise Single Sign-On SuiteレポートをReportsサブフォルダにコピーします。
4. Business Intelligence Publisherを再起動します。
5. Business Intelligence Publisherにログオンして、「カタログ」→「共有フォルダ」に移動します。Oracle Enterprise Single Sign-On Suite
6. 各コンポーネント(たとえば、Logon Manager)のレポート・フォルダ内で、「データ・モデル」レポート・タイプごとに「編集」をクリックします。
7. 「プロパティ」ダイアログで、「デフォルトのデータソース」の値として、前に作成したデータベース接続を選択します。
「プロパティ」ダイアログの左にある値リストから選択します。前述の手順と同様にしてこのダイアログのデータ・ソースを変更して、前に作成したデータベース接続を割り当てます。
8. このプロセスの完了後、変更を保存します。
レポートを使用する準備ができました。
第VI部 レファレンス項目
この項では、Oracle Enterprise Single Sign-On Suiteコンポーネントの構成および使用についての重要な補足情報を説明します。
Logon Manager
Password Reset
レポーティング
・ レポーティング・イベント定義表
一般
・ 認証局の証明書の取得
Citrix環境でエージェントをデプロイする場合のベスト・プラクティス
CitrixでのLogon Managerのデプロイにはいくつかの方法がありますが、どの方法も、Citrixファームのデプロイ方法およびエンドユーザーへのアクセス権の配布方法に依存します。デスクトップでのCitrix ICAクライアントを使用した場合とCitrix Webポータルを使用した場合のアプリケーションの配布で、それ以外を指定した場合を除き、これらの方法は変わりません。
基本的に、3つのオプションがあります。
・ ユーザーごとにLogon Managerをデプロイします。
・ アプリケーションごとにLogon Managerをデプロイします。
・ サーバーごとにLogon Managerをデプロイします。
この項では、これらのオプションを詳細に説明します。
インストール
最終的な構成に関係なく、最初のエージェントのインストール・プロセスは、すべてのデプロイ・オプションで同じです。
開始する前に、グローバル・エージェント設定を正しく構成したこと、Logon Managerを正しく理解していることおよびエージェントのインストールに必要な拡張を決定していることを確認します。通常、これらは、同じ拡張で、使用する環境のユーザー・ワークステーションでGASが非常に類似しています。CitrixでのLogon Managerのインストールの手順の詳細は、「Citrix環境でのLogon Managerの構成」を参照してください。
Citrix MetaFrameでLogon Managerをインストールするには、次の手順を実行します。
1. ターミナル・サーバーに管理者としてログオンし、すべてのアプリケーションを閉じます。
2. 「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。「ファイル名を指定して実行」ウィンドウが表示されます。
3. cmdと入力して、[Enter]を押します。コマンド・プロンプト・ウィンドウが表示されます。
4. change user /installと入力して、[Enter]を押します。
5. 環境に適したインストール・オプションを選択して、Logon Managerをインストールします。
6. インストールの完了後、コマンド・プロンプトでchange user /executeと入力します。
構成およびデプロイ
CitrixでのLogon Managerのデプロイにはいくつかの方法がありますが、どの方法も、Citrixファームのデプロイ方法およびエンドユーザーへのアクセス権の配布方法に依存します。
基本的に、3つのオプションがあります。
・ ユーザーごとのLogon Managerのデプロイ
o Logon Managerをすべてのサーバーおよびすべてのアプリケーションにデプロイでき、かつそれらのサーバーおよびアプリケーションでそれを使用するユーザーを制限できます。
・ アプリーションごとのLogon Managerのデプロイ
o Logon Managerをすべてのサーバーおよびユーザーに、ただしアプリケーションごとにのみ、デプロイできます。
・ サーバーごとのLogon Managerのデプロイ
o Logon Managerを個別のサーバーにデプロイできます。
ユーザーごとのLogon Managerのデプロイ
ユーザーごとのLogon Managerのデプロイでは、Logon Managerを使用するためのアクセスを付与されるおよびされないユーザー/グループへのアクセスを制御できます。
ユーザーごとへのLogon Managerのデプロイに関する手順は、次のとおりです。
1. Logon Managerユーザーのドメインでグループを作成します。Citrix公開アプリケーションにLogon Managerを使用するすべてのユーザーを使用する環境に含めます。
2. 各Citrixサーバーで、C:\Program Files\Passlogix\v-GO SSOディレクトリにあるssoshell.exeファイルの「Security」プロパティを編集します。
3. 前の手順で作成したSSOユーザー・グループをディレクトリのACLに追加します。このグループに、このファイルでの「Read」および「Read & Execute」権限を付与したことを確認します。ユーザー、ドメイン・ユーザーまたはこのファイルへの読取りアクセスを持つその他のグループを削除します。これを実行するには、「inherit permissions from parent」を選択解除する必要がある場合があります。
権限設定のこの方法は、すべての管理者にこのファイルへの完全アクセスおよびLogon Managerの使用を許可します。他にも、これらの権限を設定する多数の可能な組合せまたは方法があります。つまり、Logon Managerへのアクセスを必要とするユーザーに、ssoshell.exeの読取り/実行権限を付与し、他のすべてのユーザーがそれにアクセス/読取りできないようにします。
Citrixでのユーザーごとのデプロイの使用では、すべてのアプリケーションをすべてのユーザーに公開したままにでき、ssolauncher.exeを使用して、公開済の各アプリケーションを構成する必要がないということです。
4. Logon Managerをすぐに起動しない場合、WindowsレジストリHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon\AppSetupキーから、ssolauncher.exeの値を削除します。
このキーがない場合、Logon Managerは、いずれのアプリケーションにも応答しません。応答を導出するには、このキーを置換するか、または、公開済のアプリケーション・コマンドを変更して、ssolauncher.exeを含めます。
アプリケーションごとのLogon Managerのデプロイ
アプリケーションごとのLogon Managerのデプロイでは、アプリケーションでLogon Managerを有効にできます(アプリケーション単位)。
アプリケーションごとのSSOのデプロイに関する手順は、次のとおりです。
1. シングル・サインオンが有効なアプリケーションをホストするすべてのサーバーに、Logon Managerをインストールします。
2. HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetupからssolauncher.exeの値を削除して、HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\UserInitキーからssoshell.exeの値を削除することで、Logon Managerが自動的に起動しないようにします。この詳細な手順については、SSO Consoleヘルプ・ファイルで、キーワード「Citrix」を使用してください。
3. Logon Managerを使用する公開済のアプリケーションを変更して、SSOLauncher.exeをコールし、その後元のコマンドラインをコールするコマンドライン・ラッパーを含めます。詳細な手順は、「Citrix環境でのLogon Managerの構成」を参照してください。
サーバーごとのLogon Managerのデプロイ
CitrixサーバーごとのLogon Managerデプロイでは、サーバー単位でエージェントを有効にできます。これは、完全にデプロイするために3つの方法の中で一番簡単な方法です。
1. シングル・サインオンを有効にするCitrixサーバーにLogon Managerをインストールします。
2. Logon Managerユーザーを、シングル・サインオン可能なサーバーに移動します。
公開済のアプリケーションの変更、権限の設定またはレジストリ・キーの削除の必要はありません。このサーバーのすべてのユーザーでLogon Managerが自動的に起動します。この方法は、ユーザーがCitrixサーバーを介してリモート・デスクトップにアクセスする場合に有効です。
Citrixサーバー固有のグローバル・エージェント設定
ほとんどの場合、Citrixサーバーは、他のすべてのLogon Managerクライアント・マシンにデプロイされたものと非常に類似したグローバル・エージェント設定を使用します。通常のデプロイメントでは、Citrixの起動前に、クライアント・ワークステーションを完全に構成およびテストします。グローバル・エージェント設定を構成および検証した後、それらをAdministrative Consoleにインポートし、Citrix環境で使用するために名前を変更します。
Citrixサーバー用に、次のグローバル・エージェント設定を構成する必要があります。
・ 暗号化形式でのディスクのEnd-User\Experience\Advanced\Storeユーザー・データ: 「Do not store data in user disk file」に設定します。
・ Synchronization\Deleteローカル・キャッシュ: 「Delete」に設定します。
・ グローバル・エージェント設定でのドライブ文字のハードコードの排除: これらは、シンクロナイザおよびイベント・ログ設定にあります。CをCitrixでLogon Managerをインストールしたドライブの文字と一致する文字に変更します。異なるCitrixサーバーが異なるドライブの文字を使用する場合、各サーバーに別々の設定を指定する必要があります。これは、Logon Managerはこのドライブの文字を使用して、コンポーネントを特定するため、重要です。
アプリケーションの公開
上述の手順の完了後、CitrixサーバーでLogon Managerを使用する準備ができます。公開済アプリケーションの一部またはすべての有効化を開始できます。アプリケーションにLogon Managerを有効化するには、ssolauncher.exeを使用して、コマンドラインを変更する必要があります。手順の詳細は、「Citrix環境でのLogon Managerの構成」を参照してください。
Logon Managerアプリケーションの互換性に関する考慮事項
オラクル社では、テンプレートを提供しているアプリケーションのみを公式にテストおよびサポートしていますが、Windows、Web、Javaアプリケーションおよびメインフレーム/AS400エミュレータ用のビジネス・アプリケーションおよび生産性アプリケーションの大多数は、非常に高い確率で使用できます。サポート・チームは、あるアプリケーションが現状のままではLogon Managerと互換性がないと判別されないかぎり、あるいは互換性がないと決定されるまで、アプリケーション・テンプレートの構成を支援します。
次の表には、Logon Managerにサポートの問題があることが知られているアプリケーションの特徴を示します。
|
高リスク
|
中リスク
|
|
アプリケーション・テンプレートの構成がほとんどの場合で失敗してしまうアプリケーションの特徴
|
SSOの機能が不完全になってしまうことがあるか、サインオンまたはパスワードを変更するためにエンドユーザー側でアクションが必要な場合があるアプリケーションの特徴
|
|
・ XWindows
・ Flashアプリケーション
・ 以前のJava (1.3.1より前)
・ HLLAPI以外のエミュレータ
・ HLLAPIをすでに使用しているエミュレータ・アプリケーション(HLLAPIに接続できるアプリケーションが1つのみのエミュレータとともに使用されている場合)
・ DOS GUIアプリケーションおよびCMDで動作しないDOSアプリケーション
・ 次のようなWebアプリケーション
o SendKeysを必要とする。
o 遅延を必要とする。
Logon Managerは、ページが完全にロードしたと認識するまで、資格証明を取り込みません。一部のWebサイトでは、ブラウザからするとページは完全にロードされたように見えますが、フィールドでは資格証明の取り込み準備がまだ整っていません。
・ (ログオンのループ、無視、パスワード変更などの)問題を修正するためにマッチングを必要とするが、マッチングに一意の基準を使用できないアプリケーション。
|
・ ターミナル・サーバーまたはCitrixでホストされるアプリケーション(Logon Managerをターミナル・サーバーまたはCitrixボックスにインストールできない場合)。
・ 「OK」ボタンがなくなり、[Enter]が受け入れられないアプリケーション。Logon Managerでは送信を処理できません。ユーザーは資格証明を手動で送信するか、SendKeysを使用する必要があります。
・ ログオンまたはパスワード変更にアクション(チェック・ボックスなど)を必要とするアプリケーション。Windowsアプリケーションの場合は、SendKeysを使用できます。
・ ターゲット・アプリケーションのウィンドウ・タイトルが作成後に変更されるが、その変更がログオン画面がアクティブになる前に行われるアプリケーション。
・ ログオン・フィールドが他のログオンまたは資格証明入力フィールドとともに同じページ上にあるアプリケーション。Logon Managerは、複数のログオンが同じ画面上にある場合、それらを区別できません。
・ 「Submit」ボタンが完全修飾されたパスを持つイメージ・タグ内にあり、[Enter]が受け入れられないアプリケーション。イメージ・パスが変更されると、Logon Managerは資格証明を適切に挿入および送信しなくなります。
・ アプリケーションのパスワード・ポリシーがSSOの機能と一致しておらず、ユーザーがパスワードを選択する必要があるパスワード変更シナリオ(アプリケーションにパスワードの履歴またはディクショナリ要件がある場合など)
・ Windowsアプリケーションの場合のSendKeys (Webアプリケーションのリスクは高く、メインフレーム・アプリケーションはパスワード変更を消失します)。
|
ホスト・エミュレータの構成によるHLLAPIセッション短縮名の有効化
Logon Managerには、組込みのHLLAPI(高水準言語アプリケーション・プログラミング・インタフェース)サポートを使用する、次のホスト/端末エミュレータのシングル・サインオン機能があります。 次の項では、各エミュレータでHLLAPIサポートを有効にする方法について説明します。
・ Telnetのサポート
・ Attachmate Extra! / myExtra! / Xtra! X-Treme
・ BlueZone Web-to-Host
・ BOSaNOVA
・ Ericom PowerTerm
・ G&R Glink
・ Hummingbird HostExplorer
・ IBM Client Access
・ IBM Client Access Express
・ IBM Host on-Demand
・ IBM Personal Communications
・ Jolly Giant QWS3270 PLUS
・ NetManage Rumba
・ Net SoftのNS/Elite
・ Newhart Systems BLUES 2000
・ Novell LAN Workplace
・ PuTTY
・ Scanpak Aviva for Desktops
・ Seagull Bluezone
・ WRQ Reflection
・ Zephyr PC to Host
・ Zephyr Web to Host
|
|
HLLAPIサポートを実装していないエミュレータの場合は、(ウィンドウ・タイトルでフォームが検出されるように、)ユーザー資格証明を指定するSendKeysを使用して、Windowsアプリケーションとしてホスト/メインフレーム・アプリケーションを構成できる場合もあります。詳細は、「Windowsアプリケーションの追加: 特殊な問題」を参照してください。
|
Attachmate EXTRA!/ myExtra!
Attachmate EXTRA!の各セッションをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
1. セッションを開きます。
2. 「Options」メニューから「Global Preferences」を選択します。
3. 「Advanced」、「Short name」(Aなど)、「Browse」、セッション・ドキュメントの順に選択し、「OK」をクリックします。
|
|
この設定は、各セッションの構成ファイルとともに保存する必要があります。
メインフレームまたはホスト・セッションの終了後も、バックグラウンド・プロセスが実行されたままになる場合があります。これにより、自動ログオン・プロセスが中断され、セッションが再開できない場合があります。
|
BlueZone Web-to-Hostエミュレータ
BlueZone Web-to-Hostエミュレータをインストールして構成するには、次の手順を実行します。
1. BlueZone Web-to-Hostのセットアップを起動します。
2. 「Setup Type」セクションで、「Install BlueZone Web-to-Host」を選択し、「Next」をクリックします。
3. エンド・ユーザー・ライセンス契約をよく読みます。条件に同意する場合は、「Yes, I agree with the terms of this software license」の横にあるボタンを選択し、「Next」をクリックします。
4. ソフトウェアをインストールする場所を選択します。インストーラのデフォルトは、C:ドライブのProgram Filesディレクトリです。
5. Seagull Activation File (SAF)の場所をインストーラに指示するか、SAFがインストールされていない場合は、空白のままにします。
6. 使用するプログラム・グループをインストーラで作成するかどうか、およびBlueZone Web-to-Hostウィザードのデスクトップ・ショートカットを作成するかどうかを選択して、「Next」をクリックします。
7. 「Sites」ダイアログ・ボックスで、ドロップダウン・メニューからサイトの言語を選択します。
8. 次のいずれかを実行します:
・ 「Create」をクリックして、パスとフォルダ名を入力します。
・ 「Import」をクリックして、インポートするサイトに移動します。
・ 「Copy」をクリックして、コピーするサイトに移動します。
・ 「Upgrade」をクリックして、アップグレードするサイトに移動します。
・ 既存のサイトを削除する場合は、サイトを選択して「Delete」をクリックします。
9. 「Launch Folders」ダイアログ・ボックスで既存の起動フォルダを選択するか、「Create」をクリックして新しいフォルダを作成します。「Next」をクリックします。
10. 「New BlueZone Launch Folder」ダイアログ・ボックスで、フォルダ名前を入力し、標準のWeb-to-Hostとして配布するか提供されているデスクトップとして配布するかを、フォルダ・オプションから選択します。「OK」をクリックします。
11. 「Launch Folders」ダイアログ・ボックスに戻ると、新しい起動フォルダが表示されているので、「Next」をクリックします。
12. 「Sessions」ダイアログ・ボックスで、「Create」をクリックします。
13. 「New BlueZone Session」ダイアログ・ボックスで、ドロップダウン・メニューから「Mainframe Display」を選択し、「OK」をクリックします。
14. セッションの名前を入力し、既存のプロファイルを使用するかどうかを指定します。既存のプロファイルを選択します(該当する場合)。ローカルへの保存を許可するかどうかを選択します。「OK」をクリックします。
15. 「Define New Connection」ダイアログ・ボックスで、接続情報を入力し、「OK」をクリックします。
16. 「Session Properties」ウィンドウで情報を確認します。変更する情報を編集します。終了したら「OK」をクリックします。
17. 「BlueZone Mainframe Display」で「Session」を選択し、「Connect」をクリックします。
このエミュレータは、バージョン11.1.1.1.0で新しくサポートされました。
BOSaNOVA
Logon Managerでは、BOSaNOVAエミュレータがサポートされています。BOSaNOVAがLogon Managerで動作するための設定手順は必要ありません。
|
|
Logon ManagerでのBOSaNOVAエミュレータの使用には既知の問題があります。エミュレーションを閉じるとき、次の警告メッセージが表示されます。「There are active applications connected to the emulation via the HLLAPI/DDE interface. Closing the emulation now may cause unpredictable results. Are you sure?」
「Yes」をクリックすると、Logon ManagerはBOSaNOVAエミュレータへの応答を停止するため、エミュレータを再起動する必要があります。再起動には、さらに数秒かかる場合があることに注意してください。この問題は、エミュレーションを閉じる前にLogon Managerを停止し、エミュレータを閉じた後、Logon Managerを再起動することによって解決することもできます。
|
Ericom PowerTerm
Ericom PowerTermがLogon Managerで動作するための設定
エミュレータで:
1. 「Setup」メニューから「Terminal」を選択します。
2. 「General」タブを選択します。
3. 「HLLAPI Names」で「Short」を一意の値に設定します。
4. 「OK」をクリックします。
|
|
PowerTerm InterConnect、PlusおよびLite版でLogon Managerサポートを有効にするには、エージェントのホスト/メインフレーム構成ファイルMfrmList.iniにエミュレータへの完全で正確なパスを指定する必要があります。メインフレーム構成のデフォルト・パスは、C:\Program Files\Ericom Software\PowerTermです。
|
これらのいずれかのバージョンのPowerTermエミュレータが他のディレクトリやドライブにインストールされている場合は、MfrmList.iniでこのデフォルト・パスを変更する必要があります。このファイルは、Oracle Enterprise Single Sign-On Administrative Consoleでのみ編集できます。
1. 「Tools」メニューで「Modify Configuration」をポイントし、「MfrmList」をクリックします。
2. INIエディタで、「Section」ドロップダウン・リストからEricom PowerTerm Lite/Plus/InterConnectを選択します。
3. ValueName=では、必要に応じてエミュレータへのパスを編集します。
4. 「Save」をクリックし(エージェントを再起動するように求められた場合は「OK」をクリックし)、「Close」をクリックします。
G&R Glink
G&R Glinkを、Logon Managerとともに動作するように設定するには、次の手順を実行します。
G&R Glinkインストール・パス内のGLWin\WHLLAPIディレクトリにあるglHLLAPI.iniファイルで短縮名を構成します。このファイルを有効にするには、ユーザーの%WinDir%ディレクトリにコピーする必要があります。短縮名を参照する値(次の形式を参照)を除き、デフォルト値は変更しないことをお薦めします。
A]
Name=HLLAPI long name
Config=config file name
「A」は短縮名を表します。
Hummingbird Host Explorer
Hummingbird HostExplorerをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
1. 「Options」メニューから「API Settings」を選択します。
2. 「HLLAPI Options」で、「Update screen after PS update」を選択します。
3. 「EHLLAPI Compatibility」で、「Attachmate」を選択します。
4. 「OK」をクリックします。
IBM Client Access
IBM Client Access Express
IBM Host On-Demand
|
|
これらの方法に関して、構成されたセッションをクライアントが保存できない場合があるという問題があり、セッションを使用するたびに自動起動名を入力するのは非常に面倒です。かわりに、次に説明するように、管理者はクライアントが使用できる既存のセッションを複製し、複製したセッションをHLLAPI対応にできます。これにより、クライアントは標準とHLLAPI対応の両方のセッションを使用できるようになります。
|
IBM Host On-DemandをLogon Managerで動作するように設定するには、次の手順を実行します。
Microsoft Internet ExplorerまたはMozilla Firefoxの場合
1. ブラウザを起動します。
2. IBM FixCentral (http://www-933.ibm.com/support/fixcentral/)にアクセスし、IBM Host On-Demandの特定のバージョンのHost On-Demand EHLLAPI Bridge Downloadをダウンロードします。
3. ダウンロードしたファイルをLogon Managerインストール・ディレクトリに解凍します。
4. Ehllapibridge.exeをインストールします。
5. 「ツール」メニューから「インターネット オプション」を選択します。
6. 「Advanced」タブを選択します。
7. 「Microsoft VM」で、「Java console enabled (requires restart)」を選択します。
8. 「適用」をクリックし、次に「OK」をクリックします。必要に応じて、ブラウザを終了します。
9. コンピュータを再起動します。
Host On-Demandの場合
1. 個々のセッションをHost On-DemandアプレットによってHLLAPIイネーブラを実行するように構成します。
2. メニューから「Properties」を選択します。
3. 「Advanced」タブを選択します。
4. 「Auto-Start」ドロップダウン・リスト・ボックスから「Applet」を選択します。
5. 「Name」テキスト・ボックスにcom.ibm.eNetwork.hllbridge.HLLAPIEnablerと入力します。
6. 「Parameter (Optional)」テキスト・ボックスにENABLE_PCSAPI=YESと入力します。
7. 「Auto-start HLLAPI Enabler」チェック・ボックスで「Yes」を選択します。
8. または、「Assist」、「Run applet」の順に選択してセッションを開始した後、このアプレットを実行します。
IBM Personal Communications
IBM Personal CommunicationsをLogon Managerで動作するように設定するには、次の手順を実行します。
1. エミュレータの「Edit」メニューから、「Preferences」をポイントし、「API Settings」を選択します。
2. 「DDE/EHLLAPI」チェック・ボックスを選択します。
3. 「OK」をクリックします。
Jolly Giant QWS3270 PLUS
Logon Managerでは、Jolly Giant QWS3270 PLUSエミュレータがサポートされています。Jolly Giant QWS3270 PLUSがLogon Managerで動作するための設定手順は必要ありません。
NetManage Rumba
エミュレータでのNetManageの設定手順
1. 「Options」メニューから「API」を選択します。
2. 「Identification」タブを選択します。
3. 「Session Short Name」を設定します。
4. 「OK」をクリックします。
|
|
NetManage Rumbaには、HLLAPIが不完全に実装されている可能性があります。NetManage Rumbaでは、Presentation Space (エミュレータ画面)に接続して表示させることはできますが、2つ以上のセッションの接続はサポートされていません。Logon Managerでは、最後に起動されたセッションへのシングル・サインオン・サポートのみが提供されています。
|
Net SoftのNS/Elite
Logon Managerでは、Net SoftのNS/Eliteがサポートされています。NS/EliteがLogon Managerで動作するための設定手順は必要ありません。
Newhart Systems BLUES 2000
Logon Managerでは、Newhart Systems BLUES 2000エミュレータがサポートされています。Newhart Systems BLUES 2000がLogon Managerで動作するための設定手順は必要ありません。
Novell LAN Workplace
Novell LAN Workplace Proに対するLogon Managerサポートを有効にするには、エージェントのホスト/メインフレーム構成ファイルMfrmList.iniにエミュレータへの完全で正確なパスを指定する必要があります。メインフレーム構成のデフォルト・パスは、c:\Program Files\Novell\LAN Workplace\Terminals\Binです。
Novell LAN Workplaceエミュレータが他のディレクトリやドライブにインストールされている場合は、MfrmList.iniでこのデフォルト・パスを変更する必要があります。このファイルは、Oracle Enterprise Single Sign-On Administrative Consoleでのみ編集できます。
1. 「Tools」メニューで「Modify Configuration」をポイントし、「MfrmList」をクリックします。
2. INIエディタで、「Section」ドロップダウン・リストからNovell LAN Workplace Pro 5.2を選択します。
3. ValueName=では、必要に応じてエミュレータへのパスを編集します。
4. 「Save」をクリックし(エージェントを再起動するように求められた場合は「OK」をクリックし)、「Close」をクリックします。
PuTTY
PuTTYターミナル・エミュレータ用アプリケーション・テンプレートの作成
PuTTYおよびLogon ManagerでのPuTTYのサポートが設計された方法により、PuTTYを介してアクセスするアプリケーションのテンプレートを作成する場合は、次の情報を考慮する必要があります。
|
|
PuTTYベースのテンプレートを作成する場合は、PuTTYのCopy All to Clipboard機能を使用します。
|
PuTTYは固定画面アプリケーションをスクロール画面として扱う
PuTTYはすべてのアプリケーションをスクロール画面として扱うため、対象のアプリケーションが固定画面であっても、スクロール画面テンプレートを作成する必要があります。
PuTTYはカーソル位置の検出または設定をサポートしない
PuTTYはカーソル位置の検出も設定もできないため、テンプレートを作成する際は、次の手順を実行する必要があります。
・ 固定画面アプリケーション。 タブや空白などの適切なキーボード文字を送信することによって、目的の行と列に手動でカーソルを配置するようにテンプレートを構成します。
・ スクロール画面アプリケーション。 カーソルが常に画面の最終行の最後の文字の後の空白を1つ追加した場所にあると仮定してテンプレートを構成します。
PuTTYの画面はすぐに更新されない
Scanpak Aviva for Desktops
Logon Managerでは、Scanpak Aviva for Desktops (以前の Eicon Aviva)がサポートされています。Scanpak Aviva for DesktopsをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
1. 「Settings」を選択し、メニューから「Properties」を選択します。
2. 「Automation」を選択します。
3. 「Choose first available short name」チェック・ボックスが選択されていることを確認します。
|
|
セッション・パラメータおよび宛先パラメータのみを構成する必要があります。
|
WRQ Reflection
WRQ ReflectionをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
1. 「Setup」を選択し、メニューから「Terminal」を選択します。
2. 「Short」および「Long」の「HLLAPI names」を設定します。(「Short」は一意である必要があり、「Long」はプログラムで使用できる任意の名前を設定できます。)
3. 「OK」をクリックします。
Zephyr PC to Host
Passportを、Logon Managerとともに動作するように設定するには、次の手順を実行します。
エミュレータで:
1. 「Communication」を選択し、メニューから「Setup」を選択します。
2. 「HLLAPI」を選択します(「Automatically Select」が選択されている場合、追加の手順は必要ありません)。「Manually Specify」が選択されている場合は、「Short Name」または「Long Name」を選択する必要があります。
Zephyr Web to Host
SAPの構成
Logon Managerでは、SAPアプリケーションがサポートされています。Logon ManagerがSAPアプリケーションと連携するには、スクリプトを有効にする必要があります。(ご使用の環境では、スクリプトがデフォルトで無効になっている場合があることに注意してください。)次の構成変更は、Logon Managerを実行するすべてのSAPデスクトップに対して行う必要があります。構成変更を行わない場合は、Logon Managerを停止しないかぎり、エンド・ユーザーはSAPエラーを受け取ります。
SAPを、Logon Managerとともに動作するように設定するには、次の手順を実行します。
クライアントの構成
・ SAPクライアントをオープンし、ログオンします(SAPGUI Front End)。
・ 「SAP Easy Access」画面で、「Options」ダイアログ・ボックスを開きます。([Alt]を押しながら[F12]を押すか、または任意のSAP画面の標準ツールバーから 「Customizing of local layout」を選択します)。
・ 「Scripting」タブを選択します。
・ 「User Settings」で、「Enable Scripting」が選択されていること、および「Notify when a script attaches to a running GUI」が選択されていないことを確認します。
・ 「Apply」をクリックします。
サーバーの構成
・ SAPアプリケーション・サーバーをオープンします。
・ トランザクションRZ11を開始します。
・ 「Maintain Profile Parameters」画面で、「Param.Name」にsapgui/user_scriptingと入力し、「Display」をクリックします。
・ 「Display Profile Parameter Attributes」画面で、「Application」ツールバーから「Change Value」を選択します。
・ 「Change Parameter Value」画面で、「New Value」フィールドにTRUEと入力します。
・ 「Save」(左下隅)をクリックします。
レジストリの編集
・ レジストリを開きます。
・ HKCU\software\SAP\SAPGUI Front\SAP Frontend Server\Security:WarnOnAttachにドリルダウンします。
・ WarnOnAttachの値を0(ゼロ)に設定します。
・ Logon ManagerでSAPアプリケーションを使用するすべてのデスクトップにこの変更を適用します。
|
|
このプロセスにはSAP Helperが必要です。Logon Manager Agentインストーラを実行し、「Custom Setup」を選択して「Extensions」ツリーを展開し、「Logon Manager」にドリルダウンします。「SAP Helper」を選択し、「This Feature will be installed on the local hard drive」を選択します。「Next」を選択し、画面の指示に従ってインストールを完了します。
|
Webログオン資格証明フィールドの枠線の値
「Feedback Color」の値は、カスケード・スタイル・シート(CSS)のborder属性の標準に従います。次の表には、有効な色とそのRGB値が示されています。これらの値が使用される「Feedback Color」設定については、Web Applications(「End-User Experience」-「Response」)を参照してください。
|
属性
|
可能な値
|
|
Width
|
・ Thin
・ Medium
・ Thick
・ ピクセル、インチなどの単位(例: 3px.)。
|
|
Style
|
・ none
・ dotted
・ dashed
・ solid
・ double
・ groove
・ ridge
・ inset
・ outset
|
|
Color
|
色のキーワードまたはRGB値。一般的な例を次に示します。
|
キーワード
|
対応するRGB
|
|
キーワード
|
RGB equivalent
|
|
aqua
|
#00FFFF
|
|
navy
|
#000080
|
|
black
|
#000000
|
|
olive
|
#808000
|
|
blue
|
#0000FF
|
|
purple
|
#800080
|
|
fuchsia
|
#FF00FF
|
|
red
|
#FF0000
|
|
gray
|
#808080
|
|
silver
|
#C0C0C0
|
|
green
|
#008000
|
|
teal
|
#008080
|
|
lime
|
#00FF00
|
|
white
|
#FFFFFF
|
|
maroon
|
#800000
|
|
yellow
|
#FFFF00
|
|
Logon Managerのセカンダリ
認証APIの理解
概要
セカンダリ認証APIを使用すると、サード・パーティ・アプリケーションがプログラムによってパスフレーズをWindows Authenticator v2 (別名MSAuth)に、認証セッション中に提供できます。これによって、ユーザーと対話する必要がなくなり、認証プロセスが自動化されます。
このAPIには、次の機能が含まれています。
・ SecondaryAuthKey. パスフレーズへの応答のバッファを割り当て、このバッファにパスフレーズへの応答を書き込み、ポインタを応答バッファに戻します。
・ FreeSecondaryAuthKey. サード・パーティのコードで応答が必要なくなると、応答バッファはクリアされます。
|
|
カスタム・セカンダリ認証ライブラリは、オラクル社によって検証され、デジタル署名が付加される必要があります(そうでないと、Logon Managerで受け入れられません)。このプロセスのサポートが必要な場合は、Oracleサポートに連絡してください。
|
SecondaryAuthKeyメソッド
このメソッドは、ユーザーのパスフレーズ応答(ユーザーのAD SIDなど)を取得し、メモリーの指定アドレスに格納して後で取得できるようにする場合に使用します。
BOOL SecondaryAuthKey( LPBYTE* pbAnswer, LPDWORD pdwSize )
{
BOOL fRetVal = FALSE;
// check for invalid parameters
if ( NULL != pbAnswer )
{
// obtain user’s SID ? it will be used as passphrase answer
CSid sid;
CString strSid( sid.Sid() );
// allocate the memory buffer
LPBYTE pByte = new BYTE[strSid.GetLength() + 1];
// copy the SID to the buffer
::memcpy( pByte, strSid.GetBuffer(), strSid.GetLength() );
// save the address of the buffer to the passed pointer
*pbAnswer = pByte;
// save the size of the buffer to the passed pointer
if ( NULL != pdwSize )
{
*pdwSize = strSid.GetLength() + 1;
}
// set successful return code
fRetVal = TRUE;
}
return fRetVal;
}
The FreeSecondaryAuthKey Method
このメソッドは、SecondaryAuthKeyが正常にコールされた後に、パスフレーズ応答のバッファをクリアするために使用します。
void FreeSecondaryAuthKey( LPBYTE pbAnswer )
{
// free the memory buffer
delete[] pbAnswer;
}
実装例
次に、セカンダリ認証APIを使用してプログラムでパスフレーズ応答をオーセンティケータに提供する例を示します。
BOOL CResetDlg::SecondaryAuth( LPCTSTR pszDllPath )
{
BOOL fRetVal = FALSE;
// load SecondaryAuth.dll
HMODULE hSecondaryAuth = LoadLibrary( pszDllPath );
If ( NULL != hSecondaryAuth )
{
SECONDARYAUTHKEY pfnSecondaryAuthKey = (SECONDARYAUTHKEY) GetProcAddress( hSecondaryAuth, "SecondaryAuthKey" );
if ( NULL != pfnSecondaryAuthKey )
{
LPBYTE pbByte = NULL;
DWORD dwAnswerSize = 0;
// call SecondaryAuthKey to get the passphrase answer
BOOL bAnswerResult = pfnSecondaryAuthKey( &pbByte, &dwAnswerSize );
// use the returned answer ? pbByte
// ...
// call FreeSecondaryAuthKey to let the library free the memory
FREESECONDARYAUTHKEY pfnFreeSecondaryAuthKey = (FREESECONDARYAUTHKEY) GetProcAddress( hSecondaryAuth, "FreeSecondaryAuthKey" );
if ( NULL != pfnFreeSecondaryAuthKey )
{
pfnFreeSecondaryAuthKey( pbByte );
}
// set successful return code
fRetVal = TRUE;
}
// unload SecondaryAuth.dll
FreeLibrary( hSecondaryAuth );
}
return fRetVal;
}
セカンダリ認証方式の切替え
Windows Authenticator v2 (WinAuth v2)でユーザーのアイデンティティの確認に使用するオーセンティケータを、必要に応じて別の方式に変更できます。次のシナリオがサポートされています。
・ WinAuth v2組込みセカンダリ認証を、外部セカンダリ認証に
・ 外部セカンダリ認証を、WinAuth v2組込みセカンダリ認証に
・ 外部セカンダリ認証ライブラリを、別の外部セカンダリ認証ライブラリに
組込みセカンダリ認証から外部セカンダリ認証への切替え
カスタム・セカンダリ認証ライブラリを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
以前にLogon Managerで、ユーザーのAD SIDまたはセキュア・ランダム・キーをセカンダリ認証方式として使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
4. 次のディレクトリに、カスタム・ライブラリのGUIDと同一の名前のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
|
|
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。
|
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、次のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\{B623C4E7-A383-4194-A719-7B17D074A70F}
5. カスタム・ライブラリ・ファイルを、手順4で作成したディレクトリに配置します。
6. Logon Managerのセカンダリ認証方式のリストに、カスタム・ライブラリのGUIDを追加します。
a. 次のレジストリの場所の下に、カスタム・ライブラリのGUIDと同じ名前のキーを作成します。
・ 32ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\
・ 64ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\AUI\MsAuth\ RecoveryMethods\
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、32ビット・システムでは次のキーを作成します。
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\ {B623C4E7-A383-4194-A719-7B17D074A70F}
7. Logon Managerのリカバリ方法を、カスタム・セカンダリ認証ライブラリに設定します。まだ存在しない場合は、ResetMethodGUIDという名前の文字列値を、HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\の下に作成し、それにカスタム・ライブラリのGUIDを設定します。
8. WinAuth v2の設定を、新しく選択した構成で再初期化します。
a. Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
b. 「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
c. このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2」が選択された状態であることを確認します。
d. ウィザードの残りのステップを完了します。
外部セカンダリ認証から組込みセカンダリ認証への切替え
Logon Managerの組込みセカンダリ認証方式のいずれかを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
4. 「Recovery Method」オプションの横のチェック・ボックスを選択し、次のいずれかを実行します。
・ セカンダリ認証にユーザー提供のパスフレーズを使用する対話型のパスフレーズ・プロンプトを使用するには、ドロップダウン・リストから「User passphrase」を選択します。
・ ユーザーのAD SIDをパスフレーズ応答として使用するサイレント・セカンダリ認証を使用するには、ドロップダウン・リストから「Passphrase suppression using user's SID」を選択します。
・ セキュア・ランダム・キーをパスフレーズ応答として使用するサイレント・セカンダリ認証を使用するには、ドロップダウン・リストから「Passphrase suppression using secure key」を選択します。
5. 必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
6. WinAuth v2の設定を、新しく選択した構成で再初期化します。
a. Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
b. 「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
c. このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2」が選択された状態であることを確認します。
d. ウィザードの残りのステップを完了します。
外部セカンダリ認証ライブラリ間の切り替え
外部セカンダリ認証ライブラリを現在使用中で、別の外部ライブラリに切り替える場合は、「WinAuth v2組込みパスフレーズ・サポートから外部セカンダリ認証への切替え」の手順を実行します。
Windows Authenticatorバージョン2の構成
この項では、このドキュメントで前述のセカンダリ・オーセンティケータごとに、Windows Authenticator v2のインストールおよび構成方法について説明します。内容は次のとおりです:
・ WinAuth v1インストールのWinAuth v2への移行
・ Windows DPAPIを使用したオーセンティケータ・キー管理に関するWinAuth v2の構成
・ 対話型パスフレーズ・プロンプトを使用したリカバリ用にWinAuth v2の構成
・ セカンダリ認証APIを使用したリカバリ用のWinAuth v2の構成
・ ユーザーが提供するパスフレーズ応答のリセット
|
|
この項では、前のリストに示した手順を手動で実行する方法を示します。これらのプロセスを自動化またはカスタマイズする(あるいはその両方を行う)場合は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照するか、または使用する環境に合わせたデプロイメント計画の開発についてOracleサポートに問い合せてください。
|
WinAuth v1インストールのWinAuth v2への移行
既存のWinAuth v1デプロイメントからWinAuth v2に手動で移行するには、次の手順を実行します。
1. WinAuth v2が唯一の使用可能なログオン方法となるように初回使用ウィザードを再構成します。
a. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
b. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
c. Live設定セットの下で、「User Experience」→「Setup Wizard」にナビゲートします。
d. 「Selected Authenticator」オプションの横のチェック・ボックスを選択し、ドロップダウン・リストから「Windows v2」を選択します。
e. 必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
2. プレーン・テキスト・エディタを使用して、次の内容のバッチ(.cmd)ファイルを作成します。
##Install WinAuth v2
<esso-lm_installer> /s /v"/qb RUNVGO="YES" ADDLOCAL="MSauth""
##Initiate primary logon method change
"<oracle_install_dir>\v-GO SSO\ssoShell.exe" /shellLoad Themes /shellLock
|
|
<esso-lm_sso_installer>は、Logon Managerインストーラの実行可能ファイルのフルパスと名前に置き換え、<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。
|
3. ファイルを保存して閉じます。
4. ターゲット・マシンでこのファイルを実行します。
5. FTUウィザードが表示されたら、手順に従って移行プロセスを完了します。
Windows DPAPIを使用したオーセンティケータ・キー管理に関するWinAuth v2の構成
Windows DPAPIを使用したオーセンティケータ・キー管理用にWinAuth v2を構成するには、次の手順を実行します。
|
|
この手順は、WinAuth v2がインストール済で、Logon Managerデプロイメントと動作するように構成されていることを前提とします。
|
開始する前に、セカンダリ認証がWindows DPAPIを介して機能するように、環境が次に示す最小限のソフトウェア要件を満たしていることを確認してください。
・ ドメイン・コントローラ: Windows Server 2003 SP1以上。
・ Logon Managerが動作するクライアント・マシン:
o Windows XP SP2以上
o Windows Server 2003 SP1以上
o Windows Server 2008以上
o Windows 7
|
|
Windows XP SP2、Windows Server 2003 SP1およびWindows Server 2008では、KB907247の資格情報のローミング・ソフトウェアの更新に関する記事(http://support.microsoft.com/kb/907247)の要件を満たす必要があります。
|
Windows DPAPIおよび資格証明のローミングについては、次に示すMicrosoft Developer NetworkおよびTechNetの記事を参照してください。
・ Windows Data Protection: http://msdn.microsoft.com/en-us/library/ms995355.aspx<
・ 資格証明のローミング: http://technet.microsoft.com/en-us/library/cc700815.aspx
使用する環境が、リストされた最少要件を満たす場合は、次に示すように、Windows DPAPIをセカンダリ認証方式として使用するようにWinAuth v2を構成します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
4. 以前にLogon Managerで、ユーザーのAD SIDまたはセキュア・ランダム・キーをセカンダリ認証方式として使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
5. WinAuth v2に対してWindows DPAPIを有効にします。「Use Windows Data Protection (DPAPI)」オプションの横のチェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。
6. 変更内容をリポジトリに公開して保存します。
7. この構成をテストします。次に示すテストを行って、Logon Managerおよび環境が、資格証明のローミング、パスワード変更およびキーセット・ローテーションを処理するように適切に構成されていることを確認します。
a. 初回使用(FTU)ウィザードを完了してLogon Managerに新しいユーザーを登録します(登録時に、Logon Managerはユーザー名およびパスワードを求めますが、パスフレーズ応答の選択は求めないはずです)。
b. Logon Managerにアプリケーションを登録し、そのアプリケーションの資格証明のセットを格納します。
c. アプリケーションを閉じて、再度開きます。Logon Managerは、パスフレーズへの応答を求めず、自動的に応答してユーザーをアプリケーションにログオンさせるはずです。
d. このマシンからログアウトし、同じユーザーとして別のマシンにログオンします。Logon Managerは、元のマシンとまったく同様に動作し、パスフレーズへの応答またはその他の不要な情報を求めることはしないはずです。
e. 「Log on using Logon Manager」オプションを使用して(Logon Managerのシステム・トレイ・アイコンを右クリックしてアクセスします)、アプリケーションのレスポンス機能が目的どおりであることを確認します。
f. このエージェント内でアプリケーションのプロパティ・ダイアログを開き、「Reveal Password」オプションを使用して保存済パスワードを表示します。パスフレーズへの応答を求めるプロンプトはないはずです。
g. このエージェントの起動前にユーザーのWindowsパスワードを変更し、エージェントの実行中にも再度パスワードを変更します。パスフレーズ応答が求められることはなく、保存済の資格証明にまだアクセスできるはずです。
h. 3台目のマシンにログオンし、保存済の資格証明にまだアクセス可能であることを確認します。
i. Windows DPAPIで強制される90日キーセット・ローテーションが適切に機能することをテストします。このマシンおよびドメイン・コントローラの時計を120日進めて、2台以上の異なるマシンにログオンし、保存済の資格証明にまだアクセス可能かどうかを確認します。
対話型パスフレーズ・プロンプトを使用したリカバリ用にWinAuth v2の構成
対話型パスフレーズ・プロンプトを介したオーセンティケータ・キーのリカバリ用にWinAuth v2を構成するには、「WinAuth v2のインストール」で説明するように単にWinAuth v2をインストールします。コンソールの「Recovery Method」オプションは、手動で変更しないかぎり、デフォルトで「User passphrase」になっています。
|
|
この手順は、WinAuth v2がインストール済で、Logon Managerデプロイメントと動作するように構成されていることを前提とします。
|
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
4. 以前にLogon Managerで、ユーザーのAD SIDまたはセキュア・ランダム・キーをセカンダリ認証方式として使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
5. リカバリ中に表示されるユーザー警告を構成します。この警告は、パスフレーズへの応答を記憶する重要性を強調するものです。
a. Live設定の下で、「Authentication」→「Windows v2」→「Passphrase」にナビゲートします。
b. 「Message」オプションの横にあるチェック・ボックスを選択し、パスフレーズ応答を記憶する重要性をユーザーに説明するメッセージを入力します。(以降の手順でフィールドに値を入力する場合は、復帰改行文字として文字列\nを使用してください。)
このメッセージは登録時に表示され、続行するにはチェック・ボックスを選択し、「OK」ボタンをクリックすることをユーザーに求めます。
c. 「Message Dialog Title」オプションの横にあるチェック・ボックスを選択し、そのダイアログのウィンドウ・タイトルを入力します。
d. 「Checkbox Label」オプションの横にあるチェック・ボックスを選択し、ダイアログに表示されるチェック・ボックスのラベルを入力します。
e. 「Reset with old password」オプションの横にあるチェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。このオプションによって、ユーザーは古い(最新の)パスワードを使用して資格証明ストアへのアクセスをリカバリできます。
f. 「Force password re-enrollment when using old password to reset」オプションの横にあるチェック・ボックスが選択されていないことを確認します(つまり、このオプションはデフォルト値の「Yes」の状態)。
この設定によって、「Reset with old password」オプションが有効で、ユーザーがリカバリ中のパスフレーズへの応答として古い(最新の)パスワードを使用した場合に、Logon Managerはこのユーザーを再登録するようになります。
たとえば、警告を次のように構成した場合:
ユーザーがリカバリ時にパスフレーズへの応答を求められる際に、次のように表示されます。
6. 必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
Logon Managerセカンダリ認証APIを使用したリカバリ用のWinAuth v2の構成
Logon Managerセカンダリ認証APIを介したリカバリ用にWinAuth v2を構成するには、次の項のいずれかの手順を実行します。
・ カスタム・セカンダリ認証ライブラリを使用したリカバリ
・ 組込みのサイレント・セカンダリ認証方式を使用したリカバリ
カスタム・セカンダリ認証ライブラリを使用したリカバリ
この手順を開始する前に、次が完了していることを確認します:
1. Oracle Enterprise Single Sign-On Suite管理者ガイドのLogon Managerのセカンダリ認証APIの理解に関する項の説明に従って、カスタム・セカンダリ認証ライブラリが記述されている。
2. カスタム・ライブラリのGUIDを把握していて、このGUIDがGetIDメソッドによってライブラリからLogon Managerに戻されることを確認済である。
3. デジタル署名を取得するためにオラクル社にカスタム・ライブラリ・ファイルを送信し、オラクル社からこのファイルのデジタル署名済のコピーを受け取っている。Logon Managerでは、有効なデジタル署名が付加されていないカスタム・ファイルはロードされません。
カスタム・セカンダリ認証ライブラリを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
以前にLogon Managerで、ユーザーのAD SIDまたはセキュア・ランダム・キーをセカンダリ認証方式として使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(これによって、このオプションはデフォルト値の「User passphrase」に戻ります。)
4. 次のディレクトリに、カスタム・ライブラリのGUIDと同一の名前のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
|
|
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。
|
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、次のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\{B623C4E7-A383-4194-A719-7B17D074A70F}
5. カスタム・ライブラリ・ファイルを、手順4で作成したディレクトリに配置します。
6. Logon Managerのセカンダリ認証方式のリストに、カスタム・ライブラリのGUIDエントリを追加します。
a. 次のレジストリの場所の下に、カスタム・ライブラリのGUIDと同じ名前のキーを作成します。
・ 32ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\
・ 64ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\AUI\MsAuth\RecoveryMethods\
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、32ビット・システムでは次のキーを作成します。
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\{B623C4E7-A383-4194-A719-7B17D074A70F}
b. 手順6aで作成したキーの下に、Pathという名前の文字列値を作成し、カスタム・ライブラリのフル・パスおよびファイル名を設定します。この例では、次のように設定します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\{B623C4E7-A383-4194-A719-7B17D074A70F}\<MyCustomLibrary.dll>
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフル・パスで、<MyCustomLibrary.dll>は、カスタム・ライブラリのファイル名です。
7. Logon Managerのリカバリ方法に、カスタム・セカンダリ認証ライブラリを設定します。
まだ存在しない場合は、ResetMethodGUIDという名前の文字列値を、HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\の下に作成し、それにカスタム・ライブラリのGUIDを設定します。
8. WinAuth v2の設定を、新しく選択した構成で再初期化します。
a. Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
b. 「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
c. このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2」が選択された状態であることを確認します。
d. ウィザードの残りのステップを完了します。
組込みのサイレント・セカンダリ認証方式を使用したリカバリ
Logon Managerの組込みのサイレント・セカンダリ認証方式のいずれかを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動します。
2. 左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。
3. Live設定セットの下で、「Authentication」→「Windows v2」にナビゲートします。
4. 「Recovery Method」オプションの横のチェック・ボックスを選択し、次のいずれかを実行します。
・ サイレント・セカンダリ認証にユーザーのAD SIDを使用するには、ドロップダウン・リストから「Passphrase suppression using user's SID」を選択します。
・ サイレント・セカンダリ認証にセキュア・ランダム・キーを使用するには、ドロップダウン・リストから「Passphrase suppression using secure key」を選択します。
5. 必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
ユーザーが提供するパスフレーズ応答のリセット
新しいパスフレーズ質問に基づいて新しいパスフレーズ応答を提供するようにユーザーに強制するには、管理権限を持つユーザーとして次を実行します。
1. Oracle Enterprise Single Sign-On Administrative Consoleを使用して、次の手順を実行します。
a. 不要になる既存の質問を無効にします。
b. 新しい質問を追加します。
2. 2.ユーザーごとに、ターゲット・マシンでターゲット・ユーザーとして次の手順を実行します。
a. 次のレジストリ・キーとその内容を削除します。
HKEY_CURRENT_USER\Software\PassLogix\AUI\msauth\ResetMethods
b. 次のコマンドを実行します。
<oracle_install_dir>\v-GO SSO\ssoshell.exe /forceverify now
|
|
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。
|
前述の手順を自動化する場合は、次の対処をお薦めします。
・ プロセスを管理するスクリプトを作成する
・ 処理内容を説明する、エンドユーザー向けの指示を提供する
・ 次のような各手順の成功または失敗を集中的に記録するロギング機能を含める
o スクリプトの起動
o 古いレジストリ・キーの削除
o 新しいレジストリ・キーの作成
o ユーザーによるパスフレーズへの応答の入力
・ パスフレーズへの応答の変更を正常に終了したユーザーに対して記録されたデータを監査するレポーティング機能を含める
・ すべてのユーザーが変更を完了したら、不要なパスフレーズ質問を削除する
WinAuth v2の厳密な認証デバイスのサポートの有効化
|
|
次の説明は、Windows 7のみに適用されます。
|
スマート・カードなどの厳密な認証デバイスを使用してWindows 7に対する認証を行う場合、厳密な認証イベントがサード・パーティの資格証明プロバイダ(WinAuth v2とともにデプロイされたLogon Managerなど)に渡されるようにWindowsを構成する必要があります。そうでない場合は、Logon Managerはこのデバイスと通信できず、Logon Managerに対して認証を行うことはできません。
そのためには、次の手順を実行します。
1. Windowsレジストリ・エディタを起動し、次のパスにナビゲートします。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
2. 前述のキーの下に、SmartCardLogonNotifyという名前のDWORD値を作成します。
3. 前述の値に1を設定します。
4. マシンを再起動します。
スマート・カード監視ユーティリティ(ssoSCDetect.exe)
ユーティリティ・プログラムssoSCDetectでは、ワークステーションのスマート・カード・リーダーを監視します。これにより、ワークステーションを複数ユーザーKioskとして使用し、スマート・カードによって認証されたすべてのユーザーのリモートSSO資格証明ストアにアクセスして同期化できるようになります。
ユーザーがカードをリーダーに挿入すると、ssoSCDetectユーティリティによってエージェントが起動され、ユーザーのプライマリ・ログオン資格証明が求められます。次に、ユーティリティによってユーザーの資格証明がリモート・リポジトリと同期化されます。ユーザーが(たとえば、リーダーからカードを取り出して)ワークステーションからログアウトすると、ssoSCDetectによってエージェントが停止されます。
ユーティリティを実行するには、Logon Manager CDのUtilitiesディレクトリからインストール・ディレクトリ(%ProgramFiles%/Passlogix/v-GO SSO)に実行可能ファイルssoSCDetect.exeをコピーし、プログラムを起動します。
SSO Kiosk操作に推奨されるグローバル・エージェント設定
最高のパフォーマンスとセキュリティを得るには、Kioskとして設定されたワークステーションで実行されているLogon Manager Agentに、次のグローバル・エージェント設定を適用する必要があります。
|
UserPaths
|
(Active Directoryのみ)最高のパフォーマンスを得るには、1つ以上の完全修飾パスを指定して、ユーザー・アカウントの検索を開始します。Synchronization\Active Directoryの「Advanced」オプションを参照してください。
|
グローバル・エージェント設定
|
|
これらの設定をOracle Enterprise Single Sign-On Administrative Consoleで構成します。表は参考用です。
|
レジストリ設定は、エージェント、Oracle Enterprise Single Sign-On Administrative Consoleによって、RegEdit Windowsユーティリティおよび集中管理されたソフトウェア配布メカニズムを使用して設定できます。 レジストリ設定は、次のWindowsレジストリの場所にあります。
・ HKLM\…\ (コンピュータ固有の設定用)
・ HKCU\…\ (ユーザー固有の設定用)
シンクロナイザ拡張の管理オーバーライド・オブジェクトでは、HKLM\…\ Windowsレジストリ設定をオーバーライドする設定を指定します(このレジストリ設定は、HKCU\…\ Windowsレジストリ設定をオーバーライドします)。
|
|
例:
|
|
シンクロナイザ拡張オブジェクト
|
Extensions\AccessManager:MFEnable=DWORD:0
|
|
オーバーライド
|
|
|
コンピュータ固有のレジストリの場所(HKLM\…\)
|
HKLM\…\Extensions\AccessManager:MFEnable
|
|
オーバーライド
|
|
|
ユーザー固有のレジストリの場所(HKCU\…\)
または Logon Manageの「Settings」ダイアログのユーザー設定「Mainframe Enable」
|
HKCU\…\Extensions\AccessManager:MFEnable
|
レジストリ設定および管理オーバーライドの設定
Oracle Enterprise Single Sign-On Administrative Consoleを使用してHKLM\&\値を構成し、シンクロナイザ拡張にデプロイできます。
1. Oracle Enterprise Single Sign-On Administrative Consoleで、設定の新しいセットを作成する(「Global Agent Settings」を右クリックして「New Settings」を選択する)か、保存されている設定のセットをロードする(「Agent Settings」を右クリックして「Import」を選択する)か、または既存の設定のセットを選択(左側のペインで既存の設定のセットを選択)します。
2. 左側のペインで、設定のセットを選択して開き、該当するレジストリ・キーを選択して開きます。
|
|
Extensions\で始まるレジストリ・エントリは、Oracle Enterprise Single Sign-On Administrative Consoleでは最初のExtensions\なしで表示されます。
|
3. 右側のペインで、該当するレジストリ値を選択し、チェック・ボックスを選択して値を入力します。
4. 該当する形式(管理オーバーライドまたはHKLMレジストリ形式)にエクスポートします。
5. 左側のペインで設定のセットを選択します。
6. 「File」メニューから「Export」を選択し、エクスポート形式を選択します。
管理オーバーライド・ファイルをシンクロナイザ拡張にデプロイするには、次の項を参照してください。
・ ディレクトリ・サーバー・サポート
・ データベース同期サポート
・ ファイル・サーバー・サポート。
HKLMレジストリ形式ファイルを使用するには、そのファイルを起動する(たとえば、エクスプローラからファイルをダブルクリックする)か、インポートする(たとえば、RegEditから)か、またはデプロイメント・ツールを使用してデプロイします。
次のような設定の詳細は、「グローバル・エージェント設定」を参照してください。
・ 画面のレイアウト
・ 名前の設定
・ 説明の設定
・ レジストリ名
・ オプションおよびデフォルトの設定
・ レジストリ・タイプおよびデータ型
MSIパッケージの内容
この項では、各パッケージ機能の基本内容について説明します。機能名およびタイトルは、インストーラのカスタム表示のとおりです。機能の詳細は、パッケージを確認してください。
|
|
子機能にはその親機能が必要です。たとえば、DOSHelperにはMainframeEmulatorsが必要です。
必須の内容:
・ コア・アプリケーション
・ 英語の言語パック
カスタムMSIを作成する場合に、必須機能の選択を解除しないでください。
必要な選択:
・ 1つ以上のオーセンティケータをインストールする必要があります。
前述の機能はすべてインストールに必要なものですが、この他にInternet Explorerサポートのインストールをお薦めします。
次のことにも注意してください。
・ 機能名は大文字と小文字が区別されます。
・ すべての機能がすべてのインストーラにパッケージされるわけではありません。
・ SSOGINAとSSONPは相互に排他的です。
・ SMGinaとSSONPは相互に排他的です。
・ SSOGINAとSMGinaは相互に排他的です。
・ ADDLOCALは、指定された機能(およびその親)のみをインストールします。すべての必要な機能および希望する機能が直接的に(名前によって)、または間接的に(子機能の指定によって)含まれるようにします。
たとえば、カスタムMSIで、PuttySupportをインストールする場合は、DOSHelperおよびMainframeEmulatorsもインストールする必要がありますが、コマンドラインからADDLOCALを使用した場合は、PuttySupportを指定するだけで済みます。
機能の必要な組合せおよび禁止の組合せについては、次を参照してください。
|
Application Support
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Application Support
|
Core
|
_TopLevel Feature
|
必須
|
|
|
ssobhohelper
|
Core
|
非表示。WTSシステムのRegkey
|
|
Microsoft Internet Explorer
|
InternetExplorer
|
Core
|
x86のみ
|
|
Microsoft Internet Explorer
|
InternetExplorer.x64
|
Core
|
x64のみ
|
|
Java
|
JavaHelper.x86
|
Core
|
x86のみ
|
|
Java
|
JavaHelper.x64
|
Core
|
x64のみ
|
|
Mozilla Firefox
|
Mozilla
|
Core
|
|
|
SAP
|
SAP
|
Core
|
|
|
SoftID
|
SoftIdHO
|
Core
|
|
|
Host/Mainframe Emulators
|
MainframeEmulators
|
Core
|
|
|
Mozilla Firefox
|
MozillaHO
|
Web Integration
|
|
|
OAM Support
|
OAM Support
|
Web Integration
|
|
|
Windows
|
Win
|
Application Support
|
|
|
Console Windows
|
DOSHelper
|
Host/Mainframe Emulators
|
|
|
PuTTY
|
PuttySupport
|
Host/Mainframe Emulators
|
|
|
Java
|
JHO
|
Application Support
|
|
|
SAP
|
SAPHO
|
Application Support
|
|
|
SoftID
|
SIDHO
|
Application Support
|
|
|
Password Reset Client
|
PasswordReset
|
Application Support
|
|
|
Provisioning Gateway Client
|
ProvisioningGateway
|
Application Support
|
|
|
Credential Delegation
|
Credential Delegation
|
Provisioning Gateway Client
|
|
Authenticators
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Authenticators
|
Authenticators
|
_TopLevel Feature
|
SecureDataStorage.dllをインストールします
|
|
Windows Logon
|
SLA
|
Authenticators
|
|
|
・Windows Logon v2。
|
MSauth
|
Authenticators
|
|
|
LDAP
|
LDAP
|
Authenticators
|
|
|
LDAP v2
|
LDAPauth
|
Authenticators
|
|
|
Network Provider
|
SSONP.x64
|
Authenticators
|
x64のみ
SSOGinaとは一緒にインストールできません。
|
|
Network Provider
|
SSONP
|
Authenticators
|
x86のみ
SSOGinaまたはSMGinaとは一緒にインストールできません。
|
|
GINA
|
SSOGina
|
MSauth
|
x86のみ
SMGinaまたはNetwork Providerとは一緒にインストールできません。
|
|
GINA
|
SSOGina.x64
|
MSauth
|
x64のみ
Network Providerとは一緒にインストールできません。
|
|
GINA
|
SMGina
|
MSauth
|
x86のみ
SSOGinaまたはNetwork Providerとは一緒にインストールできません。
|
|
近接型カード
|
ProxCardAuth
|
Authenticators
|
|
|
スマート・カード
|
SCAuth
|
Authenticators
|
|
|
Smart Card (Read-Only)
|
ROSCAuth
|
Authenticators
|
|
|
RSA SecurID
|
SecurID
|
Authenticators
|
|
|
Local Authentication Toolkit (LAT)
|
LocalAuthToolkit
|
RSA SecurID
|
|
|
Authentication Manager
|
MultiAuth
|
Authenticators
|
|
Synchronizers
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Synchronizers
|
SyncMgr
|
_TopLevel Feature
|
syncmgr.dllをインストールします。
1つ以上のシンクロナイザが必要です。
|
|
Microsoft Active Directory
|
AD_Sync
|
SyncMgr
|
|
|
Microsoft AD LDS (ADAM)
|
ADAM_sync
|
SyncMgr
|
|
|
LDAP
|
LDAP_Sync
|
SyncMgr
|
|
|
データベース
|
DB_Sync
|
SyncMgr
|
|
|
Roaming Profile
|
Roam_Sync
|
SyncMgr
|
|
|
・ファイル・システム
|
File_Sync
|
SyncMgr
|
|
Audit Logging Methods
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Audit Logging Methods
|
EventMgr
|
_TopLevel Feature
|
eventmgr.dllをインストールします。
1つ以上のロギング方法が必要です。
|
|
ESSO Reporting Server
|
ReportingExt_Release
|
EventMgr
|
|
|
Windows Event Manager
|
WindowsEventExt
|
EventMgr
|
|
|
Syslog Server
|
SyslogEventExt
|
EventMgr
|
|
|
XML File
|
LocalFileExt
|
EventMgr
|
|
|
データベース
|
DatabaseEventExt
|
EventMgr
|
|
Backup/Restore
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Backup/Restore
|
BackupMgr
|
_TopLevel Feature
|
|
Languages
|
タイトル(インストーラでの表示)
|
機能名
|
機能の親
|
追加情報
|
|
Languages
|
Languages
|
_TopLevel Feature
|
|
|
English
|
English_Pack
|
Languages
|
必須
ADDLOCALで他の言語が選択されると、自動的に選択されます。
|
|
Chinese (Simplified)
|
Chinese_Simplified_Pack
|
Languages
|
|
|
Traditional Chinese
|
Chinese_Traditional_Pack
|
Languages
|
|
|
チェコ語
|
Czech_Pack
|
Languages
|
|
|
デンマーク語
|
Danish_Pack
|
Languages
|
|
|
オランダ語
|
Dutch_Pack
|
Languages
|
|
|
フィンランド語
|
Finnish_Pack
|
Languages
|
|
|
French
|
French_Pack
|
Languages
|
|
|
ドイツ語
|
German_Pack
|
Languages
|
|
|
ギリシャ語
|
Greek_Pack
|
Languages
|
|
|
ハンガリー語
|
Hungarian_Pack
|
Languages
|
|
|
イタリア語
|
Italian_Pack
|
Languages
|
|
|
日本語
|
Japanese_Pack
|
Languages
|
|
|
ハンガリー語
|
Norwegian_Pack
|
Languages
|
|
|
韓国語
|
Korean_Pack
|
Languages
|
|
|
ポーランド語
|
Polish_Pack
|
Languages
|
|
|
Portuguese (Brazil)
|
Portuguese_Brazilian_Pack
|
Languages
|
|
|
Portuguese (Portugal)
|
Portuguese_Portugal_Pack
|
Languages
|
|
|
ルーマニア語
|
Romanian_Pack
|
Languages
|
|
|
ロシア語
|
Russian_Pack
|
Languages
|
|
|
スロバキア語
|
Slovak_Pack
|
Languages
|
|
|
スペイン語
|
Spanish_Pack
|
Languages
|
|
|
スウェーデン語
|
Swedish_Pack
|
Languages
|
|
|
タイ語
|
Thai_Pack
|
Languages
|
|
|
トルコ語
|
Turkish_Pack
|
Languages
|
|
未分類
|
機能名
|
機能の親
|
タイトル(インストーラでの表示)
|
追加情報
|
|
Not_WTS
|
_TopLevel Feature
|
|
非表示
起動時にバックグラウンド・プロセスを実行するための「スタート」メニュー・ショートカットを追加します(非WTS/metaframeシステムのみ)。
|
|
SMAgent_Files
|
_TopLevel Feature
|
Kiosk Manager
|
|
|
SMGina
|
SMAgent_Files
|
Kiosk Manager GINA
|
|
バックアップおよびリストア
情報は、コマンドラインまたはファイルのいずれからもバックアップおよびリストアできます。これらの手順の詳細は、「コマンドライン・オプション」または「ファイルベースのバックアップ/リストア」を参照してください。
ディレクトリ・サーバー・スキーマ定義
ディレクトリ・サーバー・コンテナ、クラス・オブジェクト、これらの権限および属性は、次のとおりです。
vGOSecret
すべてのユーザーの機密情報を保存します。 これには、ログオン資格証明に加え、削除されたすべてのオブジェクトを保存するオブジェクトが含まれています。 このオブジェクトは、補助クラスとしてSSOUserDataオブジェクトに追加されます。すべてのユーザーがこのオブジェクトを読み取ることができますが、所有者のみがこのオブジェクトに書き込むことができ、所有者または管理者のみがこのオブジェクトを削除できます。
権限: 権限はvGOUserDataオブジェクトから継承されます。
|
属性名
|
構文
|
フラグ
|
|
vGOSecretData
|
大/小文字が区別されない文字列
|
単一値設定、同期
|
|
vGOSharedSecretDN
|
未使用
|
|
その他のオプションの属性
|
ou、dn、cn、o
|
vGOUserDataオブジェクト
保護された個別/個人の資格証明をユーザーが保存できるコンテナです。
権限: ユーザーには、自分のユーザー・オブジェクトのこれらの属性に対する書込みアクセス権があります。管理者には完全な権限がありますが、機密情報は暗号化されているため、読み取ることはできません。
|
属性名
|
構文
|
フラグ
|
|
vGOSecretData
|
大/小文字が区別されない文字列
|
単一値設定、同期
|
|
vGORoleDN
|
未使用
|
|
その他のオプションの属性
|
ou、dn、cn、o
|
vGOConfigオブジェクト
エージェントが必要とするすべての構成情報を保持するために使用します。この構成情報には、アプリケーション・サポート・リスト、メインフレーム/ホスト・アプリケーション・サポート・リスト、初回使用時の設定手順、パスワード・ポリシーおよび管理オーバーライドが含まれています。 これらのすべての設定によって、エージェントの動作が制御されます。
権限: すべてのユーザーには、このオブジェクト内の属性に対する読取り専用アクセス権があります。管理者には完全な権限があります。
|
属性名
|
構文
|
フラグ
|
|
vGOConfigType
|
大/小文字が区別されない文字列
|
単一値設定、同期
|
|
vGOConfigData
|
大/小文字が区別されない文字列
|
単一値設定、同期
|
|
vGORoleDN
|
未使用
|
|
その他のオプションの属性
|
ou、dn、cn、o
|
vGOLocatorClass
ユーザー資格証明を保存する場所を指定するために使用します。
権限: すべてのユーザーには、このクラスのオブジェクトに関して、これらの属性に対する読取り/比較/検索アクセス権があります。管理者には完全な権限があります。
|
属性名
|
構文
|
フラグ
|
|
vGOLocatorAttribute
|
大/小文字が区別されない文字列
|
単一設定値
|
|
その他のオプションの属性
|
dn, cn, o
|
エラー・ループのクイック・リファレンス
この項は、基本的なエラー・ループ設定のクイック・リファレンスとして使用してください。
|
|
これらの設定をOracle Enterprise Single Sign-On Administrative Consoleで構成します。表は参考用です。
|
設定は、グローバルからアプリケーション・タイプ、アプリケーションへと下方に継承されます。詳細な設定は、一般的な設定をオーバーライドします(アプリケーションはアプリケーション・タイプをオーバーライドし、アプリケーション・タイプはグローバルをオーバーライドします)。
|
|
セキュリティ設定(MaskPWなど)では、グローバル、アプリケーション・タイプ、アプリケーションのいずれに設定されているかにかかわらず、最も安全な設定が使用されます。
|
アプリケーション・タイプ設定は、entlist.ini [*Root]セクションに配置します。
例
[*Root]
AppsTimeout=8
WebMaxRetry=3
例
[Payroll]
WindowTitle1=Payroll
MaxRetry=3
Timeout=30
IDCtrl=203
...
|
グローバル(レジストリ)
|
アプリケーション・タイプ([*Root])
|
|
パラメータ
用途
|
Extensions\ AccessManager\ Dlg
|
Windows
|
Web
|
ホスト/メインフレーム
|
アプリケーション
|
デフォルト
|
|
「Error Loop」ダイアログが表示されるまでの最大再試行回数(最初の試行後)
|
MaxRetry
|
AppsMaxRetry
|
WebMaxRetry
|
MainframeMaxRetry
|
MaxRetry
|
0
|
|
「Error Loop」ダイアログが表示されるまでの連続したログオン試行間の最長時間
|
タイムアウト
|
AppsTimeout
|
WebTimeout
|
MainframeTimeout
|
タイムアウト
|
30
|
|
「Error Loop」ダイアログでパスワード確認フィールドを非表示にするかどうかを示す設定
|
HideConfirmPW
|
AppsHideConfirmPW
|
WebHideConfirmPW
|
MainframeHideConfirmPW
|
HideConfirmPW
|
0
(非表示にしない)
|
IBM DB2データベース・サポート用のLogon Managerイベント・ロギングの構成
概要
イベント・ログ・データがIBM DB2データベースの表に格納されるようにLogon Managerを構成するには、次の手順を完了する必要があります。
1. まだこの操作を行っていない場合は、ベンダーのドキュメントの説明に従ってIBM DB2データベースをインストールして構成します。プロンプトが表示された場合は標準のインストール・シナリオを使用します。
2. イベント・ログ・データの表を設定します。
3. Logon Managerのデータベース・イベント拡張コンポーネントをインストールします。
4. イベント・ログ・データが作成した表に格納されるようにLogon Managerを構成します。
5. イベント・ロギング構成をテストします。
ステップ1: IBM DB2データベースのインストールおよび構成
Logon Managerのイベント・ロギングの構成を始める前に、IBM DB2データベースのインスタンスの構成をベンダーのドキュメントの説明に従って行います(まだの場合)。インストーラからプロンプトが表示されたら、標準インストール・シナリオを選択します(使用する環境で他のシナリオが必要でない場合)。
ステップ2: イベント・ログ・データ表の設定
Logon Managerがデータベースにイベント・ログ・データを格納するには、このデータを格納する表を設定する必要があります。手順は次のとおりです。
1. IBM DB2コントロール・センター・アプリケーションを起動します。デフォルトでは、このアプリケーションは次の場所にあります。
C:\Program Files\IBM DB2\General Administration Tools
2. 選択したデータベース内に、Logon Managerのイベント・ログ・データを格納する表を作成します。
a. 選択したデータベースの下で、「Tables」を右クリックし、コンテキスト・メニューから「Create…」を選択します。
b. 表示された「Create Table Wizard」で、そのベンダーのネーミング・スキーマに従って表に名前を付け、「Next」をクリックします。
c. 必要な表の列を設定します。必要な列ごとに、次のように実行します。
I. 「Change column definitions for the new table」ダイアログで、「Add」をクリックします。
「Add Column Dialog」が表示されます。
II. 列に名前を付けます。これらの列名は、このドキュメントで後でOracle Enterprise Single Sign-On Administrative Consoleを使用して構成する、次に示すイベント・ログ・フィールド名と対応付けます。
|
|
各イベント・ログ・フィールドは、イベント・ログ・データ表内に同じ名前の対応する列を持つ必要があります。そうでない場合は、イベント・データは記録されません。
|
III. データ型としてCHARACTERを選択します。
IV. データ長を128に設定します。
V. 適切なフィールドを移入したら、「Apply」をクリックし、「OK」をクリックします。
終了すると、表の構成は次のようになります。
d. 変更を行う必要がある場合は、目的の列をリストから選択し、「Change」をクリックします。表の構成が完了したら、「Next」をクリックします。
e. 表領域を構成するように求められたら、使用する環境で必要となるLogon Managerイベント・ロギングのレベルに最も適切な選択を行い、「Next」をクリックします。
f. ウィザードの以降の各画面では、「Next」をクリックして表示されるデフォルトを受け入れます。
g. 構成サマリー・ダイアログで、「Finish」をクリックします。
表が作成されます。システムの速度によっては、時間がかかることがあります。
h. データベース・ログを確認して、表の作成プロセスを監視します。表が正常に作成されると、次のようなログが表示されます。
ステップ3: Logon Managerのデータベース・イベント拡張コンポーネントのインストール
Logon Managerがイベント・ログ・データをデータベースに格納するには、データベース・イベント拡張コンポーネントがインストールされている必要があります。このコンポーネントをインストールするには、次の手順を実行します。
1. 「スタート」→「設定」→「コントロール パネル」をクリックします。
2. 「コントロール パネル」で「プログラムの追加と削除」アイコンをダブルクリックします。
3. 「プログラムの追加と削除」アプレットで、「Logon Manager Agent」エントリに移動し、「変更」をクリックします。
4. Logon Manager Agentインストーラで、「Next」をクリックします。
5. 「Program Maintenance」ダイアログで、「Modify」を選択し、「Next」をクリックします。
6. 「Advanced Setup」ダイアログで、「Audit Logging Methods」ノードを拡張します。
7. 「Audit Logging Methods」ノードの下で、「Database Event Extension」の横にあるボタンをクリックし、コンテキスト・メニューから「This feature will be installed on local hard drive」を選択します。
8. 「Next」をクリックし、次に表示されるダイアログで、「Install」をクリックし、インストールが完了するまで待機します。
9. インストールが正常に完了したら、「Finish」をクリックします。
ステップ4: データベース・サポート用のLogon Managerイベント・ロギングの構成
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動し、現在の構成セットをロードします。
2. ツリーで「Global Agent Settings」→[現在の構成セット]→「Audit Logging」→「Database」にナビゲートします。
3. 「Events to log」の横にあるチェック・ボックスを選択し、「…」ボタンをクリックします。
4. 「Events to log」ダイアログで、ログに記録するイベントのタイプを選択します。
|
|
「Event Types: Info item」を選択する必要があります(これ以外の場合、データはログに記録されません)。
|
5. ツリーの「Audit Logging」ノードの下で、「Database」を選択し、次のようにLogon Managerを構成します。
|
Servers
|
Provider=<db2_provider_name>;Password=<db2_admin_
user_password>;User ID=<db2admin_user_name>;Data Source=<database_name>
|
|
Default Server
|
データベース・サーバー・インスタンスへのURL。
|
|
Default Table
|
この項で前に作成したイベント・ログ・データ表の名前。
(この例では、DB2ADMIN."S.EVENTTABLE2")
|
|
Retry Interval
|
目的の再試行間隔を設定します。詳細は、「グローバル・エージェント設定」を参照してください。
|
|
Events to log
|
手順4で選択したイベント・タイプに厳密に一致するように構成します。
|
6. ツリーの「Database」で、「Event Fields」を選択します。
7. 各フィールドに、イベント・ログ・データ表の対応する列の名前を入力します。この名前は、データベースの表の列に指定した名前と一致する必要があります。
|
|
AppName、Category、TimeStampおよびTypeパラメータの値は変更しないでください。
|
8. 終了したら、変更済の構成セットを自分のディレクトリにプッシュするか、ローカル・レジストリに書き込みます(使用する環境に合う方法で行います)
9. 次の項に進み、このイベント・ロギング構成をテストします。
ステップ5: イベント・ロギング構成のテスト
この簡易テストの手順では、Logon Managerがイベント・データをデータベースに適切に記録しているかどうかを確認します。この例では、Logon Managerで「Help」ボタンを押し、このボタンを押す操作がログに記録されたかどうかを、データベースで確認します。
1. Logon Managerを開き、「Help」をクリックします。
2. IBM DB2のコマンド・センターを起動します。通常、「スタート」→「プログラム ファイル」→「IBM DB2」→「Command Line Tools」にショートカットがあります。
3. 「Database Connection」で、「…」ボタンをクリックします。
4. 「Select a Database」ダイアログで、ターゲット・データベースにナビゲートし、選択して「OK」をクリックします。
5. 「Command」の下で、次を入力して[Enter]を押します。
SELECT * FROM <name_of_event_log_data_table>;
6. コマンド・センターに、これまでデータベースに記録されたすべてのLogon Managerイベントが表示されます。「Help」ボタンを押すイベントが、次に示すように、リストの末尾近くに表示されるはずです。
「Help」ボタンを押すイベントが表示されない場合は、再び手順をたどってデータベースおよびLogon Managerの構成を確認してください。
MS SQL Server 2005でのLogon Managerイベント・ロギングの構成
概要
イベント・ログ・データがMS SQL Server 2005データベースの表に格納されるようにLogon Managerを構成するには、次の手順を完了する必要があります。
1. まだこの操作を行っていない場合は、ベンダーのドキュメントの説明に従ってMS SQL Server 2005データベースをインストールして構成します。
2. イベント・ログ・データの表を設定します。
3. Logon Managerのデータベース・イベント拡張コンポーネントをインストールします。
4. イベント・ログ・データが作成した表に格納されるようにLogon Managerを構成します。.
5. イベント・ロギング構成をテストします。
ステップ1: MS SQL Server 2005のインストールおよび構成
Logon Managerのイベント・ロギングの構成を始める前に、MS SQL Server 2005データベースのインスタンスの構成をベンダーのドキュメントの説明に従って行います(まだの場合)。インストーラからプロンプトが表示されたら、標準インストール・シナリオを選択します(使用する環境で他のシナリオが必要でない場合)。
ステップ2: イベント・ログ・データ表の設定
Logon Managerがデータベースにイベント・ログ・データを格納するには、このデータを格納する表を設定する必要があります。手順は次のとおりです。
1. SQL Server Management Studioアプリケーションを起動し、左側のツリーにナビゲートし、目的のデータベースを展開します。
2. 選択したデータベース内に、Logon Managerのイベント・ログ・データを格納する表を作成します。
a. 選択したデータベースの下で、「Tables」を右クリックし、コンテキスト・メニューから「New Table…」を選択します。MS SQL Serverは、デフォルトの名前(Table_1など)で表を作成します。
b. 右側の「Properties」ペインの「Name」フィールドで、必要に応じて表の名前を変更します。この表名は、このマニュアルの後の方でLogon Managerに提供します。
c. 必要な表の列を設定します。必要な列ごとに、次のように実行します。
I. 列に名前を付けます。これらの列名は、このドキュメントで後でOracle Enterprise Single Sign-On Administrative Consoleを使用して構成する、次に示すイベント・ログ・フィールド名と対応付けます。
|
|
各イベント・ログ・フィールドは、イベント・ログ・データ表内に同じ名前の対応する列を持つ必要があります。そうでない場合は、イベント・データは記録されません。
|
II. データ型として「char」を選択します。
III. データ長を255に設定します。
IV. 「Allow Nulls」オプションを有効にします。
V. 終了したら、変更を保存します(「File」→「Save Table」)。
完了すると、表の構成は次のようになります。
ステップ3: Logon Managerのデータベース・イベント拡張コンポーネントのインストール
Logon Managerがイベント・ログ・データをデータベースに格納するには、データベース・イベント拡張コンポーネントがインストールされている必要があります。このコンポーネントをインストールするには、次の手順を実行します。
1. 「スタート」→「設定」→「コントロール パネル」をクリックします。
2. 「コントロール パネル」で「プログラムの追加と削除」アイコンをダブルクリックします。
3. 「プログラムの追加と削除」アプレットで、「Logon Manager Agent」エントリにナビゲートし、「変更」をクリックします。
4. Logon Manager Agentインストーラで、「Next」をクリックします。
5. 「Program Maintenance」ダイアログで、「Modify」を選択し、「Next」をクリックします。
6. 「Advanced Setup」ダイアログで、「Audit Logging Methods」ノードを拡張します。
7. 「Audit Logging Methods」ノードの下で、「Database」の横にあるボタンをクリックし、コンテキスト・メニューから「This feature will be installed on local hard drive」を選択します。
8. 「Next」をクリックし、次に表示されるダイアログで、「Install」をクリックし、インストールが完了するまで待機します。
9. インストールが正常に完了したら、「Finish」をクリックします。
ステップ4: データベース・サポート用のLogon Managerイベント・ロギングの構成
1. Oracle Enterprise Single Sign-On Administrative Consoleを起動し、現在の構成セットをロードします。
2. ツリーで「Global Agent Settings」→[現在の構成セット]→「Audit Logging Methods」にナビゲートします。
3. 「Events to log」オプションの横にあるチェック・ボックスを選択し、「…」ボタンをクリックします。
4. 「Events to log」ダイアログで、ログに記録するイベントのタイプを選択します。
|
|
「Event Types: Info item」を選択する必要があります(これ以外の場合、データはログに記録されません)。
|
5. ツリーの「Audit Logging」ノードの下で、「Database」を選択し、次のようにLogon Managerを構成します。
|
Servers
|
Provider=<SQL_provider_name>;Password=<SQL_admin_
user_password>;User ID=<SQLadmin_user_name>;Data Source=<database_name>
|
|
Default Server
|
データベース・サーバー・インスタンスへのURL。これがServer1になります。
|
|
Default Table
|
この項で前に作成したイベント・ログ・データ表の名前。
(この例では、Table_1)
|
|
Retry Interval
|
目的の再試行間隔を設定します。詳細は、「グローバル・エージェント設定」を参照してください。
|
|
Events to log
|
手順4で選択したイベント・タイプに厳密に一致するように構成します。
|
6. ツリーの「Database」で、「Event Fields」を選択します。
7. 各フィールドに、イベント・ログ・データ表の対応する列の名前を入力します。この名前は、データベースの表の列に指定した名前と一致する必要があります。
|
|
AppName、Category、TimeStampおよびTypeパラメータの値は変更しないでください。
|
8. 終了したら、変更済の構成セットを自分のディレクトリにプッシュするか、ローカル・レジストリに書き込みます(使用する環境に合う方法で行います)
9. 次の項に進み、このイベント・ロギング構成をテストします。
ステップ5: イベント・ロギング構成のテスト
この簡易テストの手順では、Logon Managerがイベント・データをデータベースに適切に記録しているかどうかを確認します。この例では、Logon Managerで「Help」ボタンを押し、このボタンを押す操作がログに記録されたかどうかを、データベースで確認します。
1. Logon Managerを開き、「Help」をクリックします。
2. Microsoft SQL Server Management Studioアプリケーションを起動します。通常、「スタート」→「プログラム ファイル」→「Microsoft SQL Server 2005」にショートカットがあります。
3. 左側のツリーで、イベント・ログ・データ表にナビゲートします。
4. イベント・ログ・データ表を右クリックし、コンテキスト・メニューから「Open Table」を選択します。
Microsoft SQL Server Management Studioに、これまでデータベースに記録されたすべてのLogon Managerイベントが表示されます。「Help」ボタンを押すイベントが、次に示すように、リストの末尾近く、または末尾に表示されるはずです。
Logon Managerのイベント通知APIの理解
概要
Logon Managerの通知サービス(以降、このドキュメントでは「このサービス」と呼びます)を使用すると、Oracle Enterprise Single Sign-Onアプリケーション間のイベント・データの送受信が可能になります。このサービスは、Windowsシステム・サービスとして動作し、グローバル・イベント・リポジトリおよびイベント・ルーターとして機能します。
このサービスは、Windowsシステム・サービスとして動作し、次のアプリケーション・ロールを区別します。
・ プロデューサ。 他のアプリケーションにイベントを送信するアプリケーション
・ コンシューマ。 他のアプリケーションからイベントを受信するアプリケーション
イベント処理タスク
このサービスはイベントを次のように処理します。
・ プロデューサから受信したイベントを格納します。 このサービスは、各プロデューサおよび各実行中のセッションに関して受信した、最新の1000個のイベントを列挙し、保持します。イベント・バッファが一杯になると、バッファに新しいイベントが入るたびに、最も古いイベントが破棄されます。各イベントは、プロデューサGUID、セッションGUIDおよびバッファ内での結果の位置によって、一意に識別できます。
・ イベントをコンシューマに転送します。 このサービスは、次のインタフェースを使用してイベントを転送します。
[
object,
uuid(DD9E48CA-63D2-4106-876D-4DDEAA063B6F),
dual,
nonextensible,
helpstring("Allows Consumers to access to the information about event"),
pointer_default(unique)
]
interface ISSONotificationEvent: IDispatch
{
[propget, id(1), helpstring("Gets event order number")]
HRESULT Number([out, retval] ULONG* pVal);
[propget, id(2), helpstring("Gets notification event code")]
HRESULT NotificationCode([out, retval] ULONG* pVal);
[propget, id(3), helpstring("Gets progress value")]
HRESULT Progress([out, retval] LONG* pVal);
[propget, id(4), helpstring("Gets event importance level")]
HRESULT Level([out, retval] ULONG* pVal);
[propget, id(5), helpstring("Gets additional data")]
HRESULT AdditionalData([out, retval] BSTR* pVal);
[propget, id(6), helpstring("Gets event time")]
HRESULT Time([out, retval] DATE* pVal);
};
SSONotificationServiceコクラス
次のIDLコードは、プロデューサおよびコンシューマによって使用される、このサービスのコクラスを記述しています。
[
uuid(FBB13217-02AB-42DF-8867-69B8DD935BA9),
helpstring("SSO Notification Service class")
]
coclass SSONotificationService
{
// Allows Consumers to subscribe for event notifications:
[default] interface ISSONotificationService;
// Allows Consumers to access to the information about events:
interface ISSONotificationEventReader;
// Allows Producers to obtain ISSONotificationEventWriter pointer for event raising:
interface ISSOWriterManager;
};
データの送信(プロデューサ)
プロデューサは、このサービスのインタフェースとして適切に機能するために、次のガイドラインに準拠する必要があります。
プロデューサの識別
プロデューサは、ISSOProducerInfoインタフェースを実装して、このサービスに対して自分自身を一意に識別する必要があります。
[
object,
uuid(4961B340-D358-4A0E-B8FB-6E2A4BF2DFDD),
dual,
nonextensible,
helpstring("Provides information about Producer"),
pointer_default(unique)
]
interface ISSOProducerInfo : IDispatch
{
[propget, id(1), helpstring("Gets Terminal Services session identifier")]
HRESULT SessionId([out, retval] ULONG* pVal);
[propget, id(2), helpstring("Gets Producer GUID")]
HRESULT ProducerGuid([out, retval] BSTR* pVal);
[propget, id(3), helpstring("Gets Producer description")]
HRESULT ProducerDescription([out, retval] BSTR* pVal);
};
イベント通知
イベントが発生すると、プロデューサはISSONotificationEventWriter COMインタフェースを介して、イベント・データをこのサービスに渡します。
[
object,
uuid(72A23F33-927D-4e01-8B50-759262519076),
dual,
nonextensible,
helpstring("Allows Producers to raise new events"),
pointer_default(unique)
]
interface ISSONotificationEventWriter : IDispatch
{
[id(1), helpstring("Raises new event")]
HRESULT AddEvent([in] ULONG nNotificationCode, [in] LONG nProgress, [in] ULONG nLevel, [in] BSTR sAdditionalData);
};
このインタフェースへのポインタを取得するために、プロデューサは前述のISSOProducerInfoインタフェースを実装し、そのポインタを、次に示すこのサービスのISSOWriterManager インタフェースのGetWriterメソッドに渡す必要があります。
[
object,
uuid(4490B430-81FD-48f5-BCD9-F9F0A82C6832),
dual,
nonextensible,
helpstring("Allows Producers to obtain ISSONotificationEventWriter pointer for event raising"),
pointer_default(unique)
]
interface ISSOWriterManager : IDispatch
{
[id(1), helpstring("Returns ISSONotificationEventWriter pointer for specified Producer")]
HRESULT GetWriter([in] IDispatch* pProducerInfo, [out,retval] IDispatch** pEventWriter);
};
セキュリティ対策
このサービスは、オラクル社が署名した実行可能ファイルを持つプロデューサからのイベントのみを受け入れます。
ISSOWriterManager::GetWriterメソッドを使用してISSONotificationEventWriterへのポインタをリクエストするプロデューサは、次のように検証されます。
1. プロデューサのプロセス識別子(PID)が取得されます(CoGetServerPID関数を介してメソッドに渡された、プロデューサのISSOProducerInfoデータに基づきます)。
2. 取得したPIDに対応するプロデューサの実行可能ファイルの署名が、Windowsレジストリに格納された情報に対して確認されるか、またはCOMセキュリティ初期化プロセスを介して確認されます。
|
|
プロデューサの実行可能ファイルがリモートの場合、このサービスは有効な署名の確認を保証できません。
|
また、プロデューサおよびコンシューマがサービスの署名を次のように検証することを、強くお薦めします。
1. ISSONotificationServiceサブインタフェース(ISSONotificationEventReader、ISSOWriterManager、ISSONotificationEventWriterまたはISSONotificationEvent)の1つからCoGetServerPID関数を使用してサービスのPIDを取得します。
2. 取得したPIDに対応する実行可能ファイルの署名を確認します。
データの受信(コンシューマ)
コンシューマは、プッシュ・モデルまたはプル・モデルのいずれかを使用してデータを受信できます。
プッシュ・モデルでのデータの受信
プッシュ・モデルでは、コンシューマはイベント・データを受信するために、次の手順を実行する必要があります。
1. イベントを処理する_ISSONotificationServiceEventsインタフェースを実装します。
[
uuid(88AD71A0-0A9A-4916-BE26-E82C4F41BF3F),
helpstring("Sink interface to handle events")
]
dispinterface _ISSONotificationServiceEvents
{
properties:
methods:
[id(1), helpstring("Handles notification event")]
HRESULT HandleEvent([in] IDispatch* pEvent);
};
ここで参照されたpEventパラメータは、前述のISSONotificationEventおよびISSOProducerInfoインタフェースを実装するオブジェクトへのポインタを格納します。
[
uuid(C8DCA6F1-2009-4A04-9E4C-BA7CB4CBA86C),
helpstring("SSO Event class")
]
coclass SSONotificationEvent
{
[default] interface ISSONotificationEvent;
interface ISSOProducerInfo;
};
2. _ISSONotificationServiceEventsイベント・ハンドラ・インタフェースを、ISSONotificationServiceインタフェースのメソッドに渡すことで、サービス・イベント・ストリームをサブスクライブします。
[
object,
uuid(079F0093-99CB-4FCF-900E-18DAD87ED316),
dual,
nonextensible,
helpstring("Allows Consumers to subscribe and unsubscribe for events"),
pointer_default(unique)
]
interface ISSONotificationService : IDispatch
{
[id(1),
helpstring("Subscribes event handler to events from specified producer and user and returns subscription cookie")]
HRESULT SubscribeToEvents([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] IUnknown* pEventHandler, [out,retval] ULONG* pCookie);
[id(2),
helpstring("Unsubscribes event handler from events from specified producer and user using cookie returned by SubscribeToEvents method")]
HRESULT UnsubscribeFromEvents([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] ULONG nCookie);
};
新しいイベントが到着すると、このサービスはイベント・データをすべてのサブスクライブされるコンシューマに転送します。
プル・モデルでのデータの受信
プル・モデルでは、コンシューマは、このサービスのISSONotificationEventReaderインタフェースを使用して、プロデューサから最新のイベントを受信します。
[
object,
uuid(5C4C57D9-D0B1-46AC-A45C-E41C55A7FEF8),
dual,
nonextensible,
helpstring("Allows Consumers to get the information about latest events"),
pointer_default(unique)
]
interface ISSONotificationEventReader : IDispatch
{
[id(1), helpstring("Gets the latest event from specified producer and user")]
HRESULT GetLastEvent([in] ULONG nSessionId, [in] BSTR sProducerGuid, [out, retval] IDispatch** pVal);
[id(2), helpstring("Returns array containing specified number of latest events from specified producer and user")]
HRESULT GetLatestEventsList([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] ULONG nCount, [out, retval] VARIANT* eventsArray);
};
このサービスは、イベント・データをポインタとして(またはポインタの安全な配列として)、前述のISSONotificationEventインタフェースの実装に戻します。
トレース・コントローラ・ユーティリティの使用
トレース・コントローラ・ユーティリティを使用すると、Oracle Enterprise Single Sign-Onアプリケーションで発生するイベントを監視および記録できます。イベントが発生したときにリアルタイムで監視することも、それらをファイルに記録しておき後で確認することもできます。
トレース・ロギングの基本的なコンポーネントは次のとおりです。
・ プロバイダ。 トレース・ロギングをサポートしているOracle Enterprise Single Sign-Onアプリケーション。各アプリケーションが個別のプロバイダを表し、トレース・ロギングが有効なときに個別のロギング・セッションを確立します。
・ コンシューマ。 記録されたイベントを解析、解釈および表示するアプリケーション(トレース・コントローラ・ユーティリティ(tracecontroller.exe)やWindowsイベント・ビューアなど)。
トレース・コントローラ・ユーティリティは、次の用途で使用します。
・ Logon Managerイベントのロギングを制御および構成します。これには、希望するプロバイダでのセッションの作成とロギングの有効化が含まれます。
・ 多数の条件によるフィルタリングを含め、記録されたイベントを希望する形式で表示します。
プロバイダのロギングを有効にした後は、トレース・コントローラ、プロバイダ・アプリケーションまたはWindows自体がシャットダウンされても、ロギングは有効なままです。Windowsがバックアップを開始したり、プロバイダ・アプリケーションが再起動されると、明示的に無効にするまで、イベントの取得は継続します。
Oracle Enterprise Single Sign-Onアプリケーションでは、次のログ詳細度レベルをサポートしています。
|
レベル
|
レベル名
|
説明
|
|
1
|
クリティカル
|
異常終了
|
|
2
|
エラー
|
ロギングが必要なサーバー・エラー
|
|
3
|
警告
|
割当て失敗などの警告
|
|
4
|
情報
|
エラー以外の場合も含む(開始/終了など)
|
|
5
|
デバッグ
|
中間手順からの詳細トレース
|
取得が完了すると、トレース・コントローラによって、イベントを時系列で編成する単一のビューアに1つ以上のイベント・ログを表示できるようになります。たとえば、Logon ManagerとAuthentication Managerのイベントを単一のリストに表示し、それを多数のカスタム条件でフィルタリングすることができます。
グラフィカル・モードでのトレース・コントローラ・ユーティリティの使用
この項では、グラフィカル(インタラクティブ)・モードでトレース・コントローラ・ユーティリティを使用する方法について説明します。コマンドラインからのユーティリティの使用については、「コマンドライン・モードでのトレース・コントローラ・ユーティリティの使用」を参照してください。
アプリケーションに対するトレース・ロギングの有効化
Oracle Enterprise Single Sign-Onアプリケーションのトレース・ロギングを有効にするには、トレース・コントローラ・ユーティリティを使用する必要があります。
ユーティリティを使用することで、希望のプロバイダ、ロギング方法および希望のイベント・タイプを選択したり、追加のロギング・オプションを構成することができます。
|
|
トレース・コントローラ・ユーティリティを実行するには、管理権限が必要です。管理権限を持つユーザーとしてログオンしていない場合は、ユーティリティの起動時に管理資格証明の入力が求められます。
|
トレース・ロギングを有効にするには、次の手順を実行します。
1. TraceController.exeを起動します。
2. プロンプトが表示されたら、管理権限を持つアカウントの資格証明を入力します。
3. 「File」メニューから「Capture Events」を選択します。「Capture」ウィンドウが表示されます。
4. 「Capture」ウィンドウで、次の手順を実行します。
a. イベントを記録するプロバイダを選択します。デフォルトでは、Logon Managerのメイン・ロギング・プロバイダであるSSOイベントが選択されています。
b. イベントをファイルに記録するか、リアルタイムで表示するかを選択します。ファイルに記録する場合は、「Browse」(…)ボタンをクリックして、記録先のパスおよびファイルを指定します。
c. SSOイベント・プロバイダには最大ロギング・レベルを指定します(使用可能なロギング・レベルのリストについては、前述の表を参照してください)。
d. SSOイベント・プロバイダには最大ファイル・サイズを指定します。デフォルト値は20MBです。
e. 希望のログ・ファイル書込みモードを選択します。
・ Circular。 最大ログ・ファイル・サイズに到達した後、ユーティリティは古いデータから順に上書きします。ロギングが開始されるごとにログは消去されます。
・ Sequential。 最大ログ・ファイル・サイズに到達した後、ユーティリティはロギングを停止します。「Append」チェックボックスを選択していないかぎり、ロギングが開始されるごとにログは消去されます。
f. 起動時にロギングを開始するには、「Boot logging」チェックボックスを選択します。この機能が有効な場合、Windowsの起動が完了するとすぐにイベントは記録され、ユーザー・ログオンは必要ありません。
g. カーネル・イベント・プロバイダの場合は、記録するイベントのタイプと、最大ログ・ファイル・サイズ(デフォルト値は20MB)を選択します。ほとんどの場合、Logon Managerのトラブルシューティングで記録する必要があるのはカーネル・プロセス・イベントのみです。
5. 「Start」をクリックして、イベントのロギングを開始します。次の点に注意してください。
・ 明示的に無効にするまで、ロギングは有効なままです。
・ トレース・コントローラ・ユーティリティの実行中は、イベントの取得中であることを示すようにシステム・トレイ・アイコンが動作します。
|
|
初期取得設定を構成した後は、ホット・キーを使用してイベント取得を開始および停止できるようにトレース・コントローラ・ユーティリティを構成できます。ホット・キーを設定するには、「イベント取得のホット・キーの構成」を参照してください。
|
記録されたイベントの表示
ファイルに記録されたイベントを表示するには、トレース・コントローラ・ユーティリティで次の手順を実行します。
1. 希望のログ・ファイルを開きます。
a. 「File」メニューから、「Open Events」を選択します。
b. 希望のプロバインダのログ・ファイルを参照し、「Open」をクリックします。ログ・ファイルに格納されたイベントは、時系列のリストとして表示されます。
c. 複数のログ・ファイルからイベントを同時に表示する場合は、ファイルを開くごとに手順1aおよび1bを繰り返します。オープンされているすべてのログ・ファイルのイベントは、時系列のリストとして表示されます。
|
|
ソート順を逆にするには、「Time」列ヘッダーをクリックします。ヘッダーの矢印は、現在選択されているソート順を示します。
|
2. 特定のイベントの詳細を表示するには、リストでそのイベントをダブルクリックします。ポップアップ・ウィンドウに詳細が表示されます。
イベントの詳細の表示が終了したら、「Close」をクリックしてイベント・リストに戻ります。
|
|
複数のログ・ファイルからイベントを表示している場合は、「File」メニューから「Show Open Log Files」を選択することで、現在開いているログ・ファイルを確認できます。
|
イベント・リストの表示のカスタマイズ
イベント・リストの次のものをカスタマイズできます。
・ イベント・リスト列
・ イベント・フィルタ
・ フォントのスタイルとサイズ
・ タイムスタンプ書式
イベント・リスト列のカスタマイズ
次のようにして、イベント・リストに表示する列と、それをどのような順に表示するかを選択できます。
1. 「Options」メニューから「Choose Details」を選択します。
「Choose Details」ウィンドウが表示されます。
2. 「Columns」リストで、表示する各列の横にあるチェック・ボックスを選択します(非表示にするにはチェック・ボックスの選択を解除します)。
3. イベント・リストで列を左に移動するには、「Columns」リストでその列を選択して「Move Up」をクリックし、右に移動するには、その列を選択して「Move Down」をクリックします。
4. 列の幅を設定するには、「Columns」リストでその列を選択して希望の幅(ピクセル)を「Width of selected column」フィールドに入力します。
5. 終了したら、「OK」をクリックして変更を保存します。
イベントのフィルタリング
トレース・コントローラ・ユーティリティを使用すると、表示したイベントを1つ以上の任意の条件でフィルタリングできます。フィルタリングを有効にするには、次の手順を実行します。
1. 「Filter」メニューから、「Filter」を選択します。
2. 表示されたウィンドウで、次のようにして1つ目の条件を構成します。
a. フィルタリングの対象となるパラメータを選択します。
b. 演算子(is、is not、less than、greater thanなど)を選択します。
c. パラメータと照合する値を入力します。プレーン・テキストの文字列も正規表現も使用できます。
d. この条件で、結果に一致を含めるか除外するかを選択します。
e. 「Add」をクリックします。
3. さらに条件を追加するには、手順2を繰り返します。
4. 終了したら、「OK」をクリックします。結果は、構成したフィルタリング条件を反映して更新されます。
|
|
「Advanced Filter」オプションは、開発者用に予約された特別な機能です。自分のイベント・リストをフィルタリングするには標準のフィルタを使用します。
|
タイムスタンプ書式のカスタマイズ
次のようにして、イベントのタイムスタンプ書式をカスタマイズできます。
1. 「Options」メニューから、「Date/Time Format」を選択します。
「Date/Time Format」ウィンドウが表示されます。
2. 次のようにして、希望のタイムスタンプ書式を選択または入力します。
・ 事前に設定されたいずれかのタイムスタンプ書式を選択する場合は、「Format string」フィールドの右側にある矢印ボタンをクリックして、メニューの上部にあるセクションから選択します。
・ カスタム文字列を入力する場合は、「Format string」フィールドの右側にある矢印ボタンをクリックして、メニューの下部にある凡例を確認した後、任意のビルディング・ブロックを使用してカスタム文字列を作成します。
3. 終了したら、「OK」をクリックして変更を保存します。
イベント・リスト・フォントのカスタマイズ
次のようにして、リストにイベントを表示するために使用するフォントをカスタマイズできます。
1. 「Options」メニューから、「Font」を選択します。
「Font」ウィンドウが表示されます。
2. 「Font」ウィンドウで、変更を行った後、「OK」をクリックします。
イベント取得のホット・キーの構成
次のようにホット・キーを使用してイベント取得を開始および停止できるようにトレース・コントローラ・ユーティリティを構成できます。
1. 「Options」メニューから、「Hot Keys」を選択します。「Hot Keys」ウィンドウが表示されます。
2. 「Start Capturing」ホット・キーを構成します。
a. 「Start Capturing」フィールド内をクリックします。
b. 希望のキーの組合せを押します。その組合せがフィールドに表示されます。
3. 「Stop Capturing」ホット・キーを構成します。
a. 「Stop Capturing」フィールド内をクリックします。
b. 希望のキーの組合せを押します。その組合せがフィールドに表示されます。
4. 「OK」をクリックして、変更内容を保存します。
コマンドライン・モードでのトレース・コントローラ・ユーティリティの使用
トレース・コントローラ・ユーティリティは、グラフィカル・インタフェースと対話しなくても、コマンドラインから起動し、構成できます。この部では、このユーティリティで使用できるコマンドライン構文について説明します。
コマンドライン・スイッチ・リファレンス
トレース・コントローラ・ユーティリティでは、次のコマンドライン・スイッチを使用できます。必須のスイッチは太字で示しています(太字でないスイッチはオプションです)。
|
スイッチ
|
用途
|
|
/start
|
ロギングを開始します。
|
|
/stop
|
ロギングを開始します。
|
|
/boot
|
起動時にロギングを開始します。
|
|
/noui
|
サイレント・モードで開始します(グラフィカル・インタフェースを表示しません)。
|
|
/path
|
次の形式で、ログ・ファイルが格納されるパスを指定します。
/path “<path_to_log_files>指定しなかった場合、ロフ・ファイルは%SYSTEMROOT%\System32\LogFiles\Vgoに書き込まれます。
(このデフォルトのフォルダは、管理権限を持つユーザーのみがアクセスできます。)
|
|
/event
|
次の形式で、記録するイベント・タイプを指定します。
/event "EventType1 " [詳細レベル] [書込みモード]
[log file size]
省略すると、現在サポートされているすべてのタイプのイベント(kernel以外)が記録されます。
|
|
/level
|
次の形式で、最大ロギング詳細レベルを指定します。
/level x
xは、1から5の整数です。使用可能な詳細レベルは次のとおりです。
1 ? クリティカル、2 ? エラー、3 ? 警告、4 ? 情報、5 ? デバッグ
(デフォルトの詳細レベルは4です。)
|
|
/circular
|
ログ・ファイル書込みモードをcircularに指定します。このモードでは、最大ログ・ファイル・サイズに到達した後、ユーティリティは古いデータから順に上書きします。
ロギングが開始されるごとにログは消去されます。これはデフォルトのモードです。
|
|
/sequential
|
ログ・ファイル書込みモードをsequentialに指定します。このモードでは、最大ログ・ファイル・サイズに到達した後、ユーティリティはロギングを停止します。/appendスイッチも指定していないかぎり、ロギングが開始されるごとにログは消去されます。
|
|
/append
|
/sequentialを使用すると、ユーティリティはログを消去するのではなく、ログ・ファイルの既存データの末尾に書込みを継続します。
|
|
/fsize
|
次の形式で、ログ・ファイルの最大サイズ(MB)を指定します。
/fsize x (デフォルトのサイズは20MBです。)
|
|
filename
|
次の形式で、開いて表示するログ・ファイル名を指定します。
TraceController.exe "<path_to_log_file>\<log_file_name>"
|
コマンドラインの使用例
次に、コマンドラインからのトレース・コントローラ・ユーティリティの操作例を示します。
ロギングの開始
ロギングを開始するには、/startスイッチと、オプションのいずれかの起動スイッチを使用します。
TraceController.exe /start [/noui] [/boot] [/path "<log_file_path>"]
ほとんどの場合のトラブルシューティングでは、デバッグ詳細レベルで、その他のすべての構成オプションに対してOracleが指定するデフォルトを使用して、サポートされているすべてのイベント・タイプを記録します。
TraceController.exe /start /level 5
複数のイベント・タイプでのロギング・オプションの指定
複数のイベント・タイプを指定する場合は、次に示すように、個々のタイプにカスタム・ロギング・オプションを指定できます。イベント・タイプを指定した後で、グローバルに設定指定することもでき、その場合、すべてのイベント・タイプが同じ構成オプションで記録されます。
各イベント・タイプのカスタム構成オプション:
TraceController.exe /start /noui /path "T:\Oracle\TraceLogs"
/event "EventType1" /level 2 /circular /fsize:10 /event "EventType2" /level 3 /sequential /append
すべてのイベント・タイプのグローバル構成オプション:
TraceController.exe /start /noui /path "T:\Oracle\TraceLogs"
/level 2 /circular /fsize 10 /event "EventType1" /event "EventType2"
ロギングの停止
ロギングを停止するには、/stopスイッチを使用します。
TraceController.exe /stop
ログ・ファイルの表示
次のようにして、1つ以上のログ・ファイルを開いて表示できます。
TraceController.exe "logfile1" "logfile2" … "logfile3"
Authentication Managerのエラー・メッセージ
この項では、スマート・カード認証時にAuthentication Managerに記録されるメッセージを示します。
警告レベル・メッセージ
|
イベント・メッセージ
|
説明
|
|
Failed to retrieve the random password from the registry
|
ユーザーが初回使用(FTU)プロセスを完了した直後であれば、このメッセージは無視してかまいませんが、それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、ランダム・パスワードが正常に保存され、同期化プロセスが正常に完了したことを確認します。
|
|
Failed to retrieve the PIN from the registry
|
ユーザーがFTUプロセスを完了した直後か、またはPINを格納するために構成が変更された後はじめての場合は、このメッセージは無視してかまいません。それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、PINが正常に保存され、同期化プロセスが正常に完了したことを確認します。
|
|
Failed to retrieve the certificate passphrase from the registry
|
ユーザーがFTUプロセスを完了した直後であれば、このメッセージは無視してかまいませんが、それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、パスフレーズが正常に保存され、同期化プロセスが正常に完了したことを確認します。
|
エラー・レベル・メッセージ
|
イベント
|
説明
|
|
Smart card selection failed
|
ユーザーがスマート・カード選択ダイアログを取り消したか、挿入されたスマート・カードがシステムによって認識されませんでした。スマート・カードに適切なミドルウェアがインストールされ、正しく構成されていることを確認します。
|
|
Exporting session key failed
|
スマート・カードからセッション・キーをエクスポートできませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていることを確認します。一部のミドルウェアでは、セッション・キーのエクスポートがサポートされていない場合があります。
|
|
Importing session key failed
|
スマート・カードにセッション・キーをインポートできませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていること、および同期化プロセスが正常に完了していることを確認します。
|
|
Failed to set application data on the smart card
|
アプリケーション・データをスマート・カードに格納できませんでした。Kiosk Managerを使用中でない場合、このメッセージは無視してかまいません。ミドルウェアでPKCS #11がサポートされており、スマート・カードが読取り専用でないことを確認します。
|
|
Failed to get application data from the smart card
|
通常、このエラー・メッセージは、アプリケーション・データをスマート・カードに正常に格納できなかった場合に表示されます。
|
|
Failed to get the smart card serial number
|
ミドルウェアでは、スマート・カードのシリアル番号の取得をサポートしていません。Kiosk Managerを使用中でない場合、このメッセージは無視してかまいません。
|
|
Failed to enumerate encryption certificate key containers
|
ミドルウェアによってインストールされた暗号化サービス・プロバイダ(CSP)では、スマート・カードでのキー・コンテナの列挙をサポートしていません。
|
|
Failed to locate logon certificate
|
スマート・カードのログオン資格証明をカードに配置できませんでした。ログオン資格証明がカードにあり、デフォルトの資格証明であることを確認します。
|
|
Failed to locate encryption certificate
|
FTUでこのエラーが発生した場合、カードに暗号化資格証明を配置することはできませんでした。スマート・カードのログオン資格証明をこの目的で使用することはできません。カードに、ログオン以外の個別の暗号化資格証明が存在することを確認します。
FTUが成功した後にこのエラーが発生する場合は、FTUで使用した暗号化資格証明がカードに存在し、使用可能であることを確認します。
|
|
Failed to obtain exchange key
|
使用する交換キーを取得できませんでした。ログオン資格証明用に構成されている場合は、カードで資格証明が使用可能であることを確認します。SSOキーが構成されている場合は、カードにSSOコンテナが作成済で、キーが含まれていることを確認します。
|
|
Failed to create session key
|
カードにセッション・キーを作成できませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていること、およびスマート・カードが読取り専用でないことを確認します。
|
正規表現の構文
次の演算子およびメタ文字を使用して、エージェントが特定のアプリケーション・ウィンドウを検出する場合に使用するテキスト文字列のパターンを指定できます。詳細は、「ウィンドウ・タイトルの追加/編集」を参照してください。
次の説明は、.NET正規表現リファレンスに準拠しています。正規表現の詳細な説明と構文については、Microsoft Developer Network Webサイト(www.msdn.microsoft.com)を参照してください。
|
グループ化
|
|
[ ]
|
大カッコ内のいずれかの文字と一致する文字クラスを示します。
例: [abc]は、a、bおよびcと一致します。
|
|
( )
|
文字グループ化演算子を示します。
例: (\d+,)*\d+は、カンマで区切られた数字のリストと一致します(1や1,23,456など)。
|
|
{ }
|
一致グループを示します。
例: {0-9+}-{0-9+}は、100-1234と一致し、2つの一致グループはそれぞれ100と1234です。
|
|
|
|
2つの式を区切り、そのうちの1つが一致します。
例: T|theは、Theまたはtheと一致します。
|
|
一致
|
|
。
|
任意の1文字を検索します。
|
|
^
|
文字クラスの先頭に^がある場合、その文字クラスは否定されます。否定された文字クラスは、大カッコ内の文字以外の任意の文字と一致します。例: [^abc] は、a、bおよびc以外のすべての文字と一致します。
正規表現の先頭に^がある場合、入力の先頭と一致します。
たとえば、^[abc]は、a、bまたはcで始まる入力のみと一致します。
|
|
$
|
正規表現の末尾にある$は、入力の最後と一致します。例: [0-9]$は、入力の最後の数字と一致します。
|
|
-
|
文字クラスで、ハイフンは文字の範囲を示します。
例: [0-9]は、0から9の任意の数字と一致します。
|
|
繰返し演算子
|
|
!
|
後に続く式を否定します。
|
|
?
|
前にある式がオプションであることを示します。1回一致するか、またはまったく一致しません。
例: [0-9][0-9]?は2および12と一致します。
|
|
+
|
前にある式が1回以上一致することを示します。
例: [0-9]+は、1、13、666などと一致します。
|
|
*
|
前にある式が0回以上一致することを示します。
|
|
??, +?, *?
|
?、+および*の最短マッチ。できるかぎり多く一致する最長マッチと異なり、これらの最短マッチではできるかぎり少なく一致します。
例: 入力を<abc><def>とすると、<.*>は<abc><def>と一致するのに対して、<.*?>は<abc>と一致します。
|
|
エスケープおよび表記
|
|
\
|
次の文字がリテラルに解釈されることを強制するエスケープ文字。例: [0-9]+は1つ以上の数字と一致しますが、[0-9]\+は後にプラス文字が続く数字と一致します。
\の後に数字nが続く場合、n番目の一致グループ(0から開始)と一致します。
例: <{.*?}>.*?</\0>は<head>Contents</head>と一致します。
\は、次の表で説明する略称にも使用します。
|
略語
|
意味
|
一致対象
|
|
\a
|
任意の英数字文字
|
[a-z A-Z 0-9]
|
|
\b
|
空白(ブランク)
|
[ \\t]
|
|
\c
|
任意のアルファベット文字
|
[a-z A-Z]
|
|
\d
|
任意の10進数字
|
[0-9]
|
|
\h
|
任意の16進数字
|
[0-9 a-f A-F]
|
|
\n
|
新しい行
|
\r|\r?\n
|
|
\q
|
引用符付き文字列
|
\"[^\"]*\"|\'[^\']*\'
|
|
\w
|
単純な単語
|
[a-z A-Z]+
|
|
\z
|
整数
|
[0-9]+
|
|
コマンドライン・オプション
Logon Managerをコマンドラインから実行して、特定のタスクを実行できます。
|
|
大カッコ内の項目は、このセクションでのみ使用するオプションです。
|
|
タスク
|
使用方法/説明
|
|
バックアップ
|
ssoshell.exe /mobility /backup [path] /silent [confirm]
|
|
例: [path]
|
バックアップ・ファイルが保存されているディレクトリへの実際のパスです。(デフォルトは、最後にコマンドライン・バックアップ・ファイルが格納されたディレクトリまたはShell:AutoBackupPathが指す場所です。)
|
|
例: silent
|
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。
|
|
例: [confirm]
|
すべてのダイアログ・ボックスを表示します。サイレント・バックアップの実行時、confirmスイッチがないと、「Yes/No」ダイアログ・ボックスは表示されず、エージェントのデフォルトは「Yes」となります。 (確認ダイアログの例: "Overwrite backup file?
|
|
Logon Manager
|
ssoshell.exe
|
|
例
|
Logon Managerを表示します。
|
|
FTUなし
|
ssoshell.exe /background /noftu
|
|
Description
|
コンピュータへのログオン時にエージェントが2回起動されないようにします。HKLM\Software\Microsoft\ Windows NT\Current Version\WinlogonにあるUserinitレジストリ・キーで有効にします。
|
|
Description
|
コンピュータへのログオン時にエージェントが2回起動されないようにします。HKLM\Software\Microsoft\ Windows NT\Current Version\WinlogonにあるUserinitレジストリ・キーで有効にします。
|
|
Description
|
/noftuを使用すると、Windows Startupフォルダにエージェントを格納していないユーザーに対してエージェントは実行されません。これにより、管理者は、特定のコンピュータのすべてのユーザーではなく特定のユーザーに対してのみLogon Managerをロールアウトできます。
|
|
Description
|
このコマンドは、Microsoft Windows XPにのみ適用されます。
|
|
オプション
|
ssoshell.exe /options
|
|
例
|
「Settings」プロパティ・ページを表示します。
|
|
リストア
|
ssoshell.exe /mobility /restore [path] /silent [confirm]
|
|
例: [path]
|
バックアップ・ファイルが保存されているディレクトリへの実際のパス。(デフォルトは、最後にコマンドライン・バックアップ・ファイルが格納されたディレクトリまたはShell:AutoBackupPathが指す場所です。)
|
|
例: silent
|
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。
|
|
例: [confirm]
|
すべてのダイアログ・ボックスを表示します。サイレント・バックアップの実行時、confirmスイッチがないと、「Yes/No」ダイアログ・ボックスは表示されず、エージェントのデフォルトは「Yes」となります。(確認ダイアログの例: "Backup file has been restored")
|
|
例: Notes
|
デフォルトで送信されるリストア・パスワードはWindowsパスワードです。リストア・コマンドは起動タスクで実行されます(「カスタム・アクション」を参照)。
|
|
設定
|
ssoshell.exe /setupmgr
|
|
例
|
設定ウィザードを表示します。
|
|
停止
|
ssoshell.exe /shutdown
|
|
起動
|
ssoshell.exe /background
|
|
同期化
|
ssoshell.exe /syncmgr /sync
|
Sync Orderリストの最初のシンクロナイザとの同期を実行します(グローバル・エージェント設定の同期を参照)。ログオンを表示して、リストに最初に表示されているシンクロナイザに接続します。
|
文字コードとキー
VTabKeyNのコード(Windows)
|
コード
|
意味
|
|
`DELAY=N`
|
Nは、遅延時間(ミリ秒)です
|
|
`VKEY=N`
|
Nは、送信する仮想キー・コードです
|
次の例で送信されるのは、[Tab]、[End]、空白、1.5秒の遅延、ログオン・ユーザー名、空白、ユーザー名/ID、[Home]、0.35秒の遅延、[Tab]およびパスワードです。
VTabKey1=`VKEY=9``VKEY=35` `DELAY=1500`Logon username`VKEY=32`
VTabKey2=`VKEY=36``DELAY=350``VKEY=9`
VirtualKeyCodeおよびVKEYのコード(Windows)
これらのコードは、特定のキーストロークをWindowsログオンまたはパスワード変更フォーム・フィールドに送信するために、アプリケーション構成ファイル(entlist.ini)で使用されます。 ここに示されているのは参照用です。「SendKeys (Windows)」ダイアログ・ボックスを使用して、Windowsアプリケーションのキーストロークを指定します。詳細は、「Windowsアプリケーションの追加」を参照してください。
|
キー
|
コード
|
|
キー
|
コード
|
|
キー
|
コード
|
|
キー
|
コード
|
|
Break
|
3
|
|
5
|
53
|
|
V
|
86
|
|
F5
|
116
|
|
Back Space
|
8
|
|
6
|
54
|
|
W
|
87
|
|
F6
|
117
|
|
Tab
|
9
|
|
7
|
55
|
|
X
|
88
|
|
F7
|
118
|
|
Clear
|
12
|
|
8
|
56
|
|
Y
|
89
|
|
F8
|
119
|
|
Enter
|
13
|
|
9
|
57
|
|
Z
|
90
|
|
F9
|
120
|
|
Shift
|
16
|
|
A
|
65
|
|
左側のウィンドウ
|
91
|
|
F10
|
121
|
|
Ctrl
|
17
|
|
B
|
66
|
|
右側のウィンドウ
|
92
|
|
F11
|
122
|
|
Alt
|
18
|
|
C
|
67
|
|
数字キーパッド0
|
96
|
|
F12
|
123
|
|
Caps Lock
|
20
|
|
D
|
68
|
|
数字キーパッド1
|
97
|
|
F13
|
124
|
|
Esc
|
27
|
|
E
|
69
|
|
数字キーパッド2
|
98
|
|
F14
|
125
|
|
Spacebar
|
32
|
|
F
|
70
|
|
数字キーパッド3
|
99
|
|
F15
|
126
|
|
Page Up
|
33
|
|
G
|
71
|
|
数字キーパッド4
|
100
|
|
F16
|
127
|
|
Page Down
|
34
|
|
H
|
72
|
|
数字キーパッド5
|
101
|
|
F17
|
128
|
|
End
|
35
|
|
I
|
73
|
|
数字キーパッド6
|
102
|
|
F18
|
129
|
|
Home
|
36
|
|
J
|
74
|
|
数字キーパッド7
|
103
|
|
F19
|
130
|
|
左
|
37
|
|
K
|
75
|
|
数字キーパッド8
|
104
|
|
F20
|
131
|
|
上
|
38
|
|
L
|
76
|
|
数字キーパッド9
|
105
|
|
F21
|
132
|
|
右
|
39
|
|
M
|
77
|
|
アスタリスク(*)
|
106
|
|
F22
|
133
|
|
下
|
40
|
|
N
|
78
|
|
プラス(+)
|
107
|
|
F23
|
134
|
|
Print Scrn
|
44
|
|
O
|
79
|
|
マイナス(-)
|
109
|
|
F24
|
135
|
|
ヘルプ
|
47
|
|
P
|
80
|
|
ピリオド(.)
|
110
|
|
Num Lock
|
144
|
|
0
|
48
|
|
Q
|
81
|
|
スラッシュ(/)
|
111
|
|
Scroll Lock
|
145
|
|
1
|
49
|
|
R
|
82
|
|
F1
|
112
|
|
Shift (左側)
|
160
|
|
2
|
50
|
|
S
|
83
|
|
F2
|
113
|
|
Shift (右側)
|
161
|
|
3
|
51
|
|
T
|
84
|
|
F3
|
114
|
|
Ctrl (左側)
|
162
|
|
4
|
52
|
|
U
|
85
|
|
F4
|
115
|
|
Ctrl (右側)
|
163
|
PreKeyおよびTabKeyのコード(ホスト/HLLAPI)
これらのコードは、特定のキーストロークをHLLAPI対応のメインフレーム/ホスト・ログオンまたはパスワード変更フォーム・フィールドに送信するために、アプリケーション構成ファイル(entlist.ini)で使用されます。 ここに示されているのは参照用です。「SendKeys (Host/Mainframe)」ダイアログ・ボックスを使用して、ホスト・アプリケーションのキーストロークを指定します。詳細は、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。
|
文字/コマンド
|
コード
|
|
文字/コマンド
|
コード
|
|
文字/コマンド
|
コード
|
|
Alt Cursor
|
@$
|
|
Local Print
|
@P
|
|
PF12/F12
|
@c
|
|
Back Space
|
@<
|
|
Reset
|
@R
|
|
PF13/F13
|
@d
|
|
@
|
@@
|
|
Shift
|
@S
|
|
PF14/F14
|
@e
|
|
Alt
|
@A
|
|
Dup
|
@S@x
|
|
PF15/F15
|
@f
|
|
Field -
|
@A@-
|
|
Field Mark
|
@S@y
|
|
PF16/F16
|
@g
|
|
Field +
|
@A@+
|
|
Tab (右方向のTab)
|
@T
|
|
PF17/F17
|
@h
|
|
Field Exit
|
@A@E
|
|
Cursor Up
|
@U
|
|
PF18/F18
|
@i
|
|
Alt Cursor
|
@$
|
|
Cursor Down
|
@V
|
|
PF19/F19
|
@j
|
|
Erase Input
|
@A@F
|
|
Cursor Left
|
@L
|
|
PF20/F20
|
@k
|
|
Sys Request
|
@A@H
|
|
Cursor Right
|
@Z
|
|
PF21/F21
|
@l
|
|
Insert Toggle
|
@A@I
|
|
Page Up
|
@u
|
|
PF22/F22
|
@m
|
|
Cursor Select
|
@A@J
|
|
Page Down
|
@v
|
|
PF23/F23
|
@n
|
|
Attention
|
@A@Q
|
|
End
|
@q
|
|
PF24/F24
|
@o
|
|
Print Screen
|
@A@T
|
|
Home
|
@0
|
|
PA1
|
@x
|
|
Hexadecimal
|
@A@X
|
|
PF1/F1
|
@1
|
|
PA2
|
@y
|
|
Cmd/Func Key
|
@A@Y
|
|
PF2/F2
|
@2
|
|
PA3
|
@z
|
|
Print (PC)
|
@A@t
|
|
PF3/F3
|
@3
|
|
PA4
|
@+
|
|
Back/左方向のTab
|
@B
|
|
PF4/F4
|
@4
|
|
PA5
|
@%
|
|
Clear
|
@C
|
|
PF5/F5
|
@5
|
|
PA6
|
@&
|
|
Delete
|
@D
|
|
PF6/F6
|
@6
|
|
PA7
|
@'
|
|
Enter
|
@E
|
|
PF7/F7
|
@7
|
|
PA8
|
@(
|
|
Erase EOF
|
@F
|
|
PF8/F8
|
@8
|
|
PA9
|
@)
|
|
ヘルプ
|
@H
|
|
PF9/F9
|
@9
|
|
PA10
|
@*
|
|
Insert
|
@I
|
|
PF10/F10
|
@a
|
|
|
|
|
New Line
|
@N
|
|
PF11/F11
|
@b
|
|
|
|
ftulist.iniキー
ftulist.iniでは、ユーザーが初めてエージェントを起動したときにエージェントによって実行される特別なアクションを決定します。 ファイルはローカル・ファイル、ディレクトリ・サーバーまたはデータベース・オブジェクトとして存在できます。同期によってデプロイされた場合、ftulist.iniは%AppData/Passlogix%ディレクトリに格納されます。
|
|
すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、Administrative Consoleでのみ作成および編集できます。次の項の情報は参考用です。
|
次の項の表は、ftulist.iniの各セクションのキーおよび許容値を示します。
・ ftulist.iniのルート・キー
・ Password Windowsセクションのキー
・ My Logonsセクションのキー
・ Bulk Add Logonセクションのキー
ルート・キー
次の値は、必ず[FTU]セクション内で使用される必須の設定です。
例
[FTU]
Ver=20020523
Step1=Password Windows
Step2=My Logons
|
初回使用キー
|
説明
|
許容可能な値
|
|
Ver = %s
|
必須。最後のftulist.iniファイルの日付の文字列。このキーの値がユーザーのレジストリ(HKCU\&\Extensions\SetupManager:Completed内)の10進値よりも大きい(新しい)場合、ユーザーが次回エージェントを起動したときにバルク追加リストが表示されます。
例: 20020523
|
%s =yyyymmdd (年-月-日)形式の日付を10進数で表現した文字列。例: 2002年5月23日の場合は20020523
|
|
Step1 = %s
|
必須。変更不可。プライマリ・ログオン方法を起動するセクションをコールします。このモジュールは、ユーザーにオーセンティケータの選択を強制します。
|
%s = "Password Windows"
|
|
Step2 = %s
|
必須。変更不可。 Access Managerを起動するセクションをコールします。このモジュールは、資格証明のバルク追加を有効にします。
|
%s = "My Logons"
|
Password Windowsセクションのキー
例
[Password Windows]
ExtensionName=<core>
|
初回使用キー
|
説明
|
許容可能な値
|
|
ExtensionName = %s
|
必須。変更不可。拡張モジュールの内部名。
|
%s = "<core>"
|
|
Action1 = %s
|
必須。変更不可。 プライマリ・ログオン方法を起動します。このモジュールは、ユーザーにオーセンティケータの選択を強制します。
|
%s = "Password Window"
|
My Logonsセクションのキー
次の値は、必ず[My Logons]セクション内で使用される必須の設定です。
例
[My Logons]
ExtensionName=AccessManager
Section1=Corporate Win App
Section2=Intranet
|
初回使用キー
|
説明
|
許容可能な値
|
|
ExtensionName = %s
|
必須。変更不可。拡張モジュールの内部名。
|
%s = "AccessManager"
|
|
Section%d = %s
|
必須。変更不可。バルク追加ウィザードに含めるログオンを指定します。
|
%d = consecutive integers
%s = アプリケーション・ログオン・セクション名; 関連するログオン・クラス・セクションへのリンク
|
Bulk Add Logonセクションのキー
次の値は必須で、各バルク追加ログオン・セクション内で使用します。
|
例
|
|
[My Logons]
ExtensionName=AccessManager
Section1=Corporate Win App
Section2=Intranet
|
|
[Intranet]
ConfigKey=*Other Webs
ConfigName=Corporate Intranet
FTU_NeedID=0
FTU_NeedOther=0
FTU_NeedPwd=1
FTU_CONFIRMID=0
FTU_CONFIRMOTHER=0
FTU_CONFIRMPASSWORD=1
URL=Corp Intranet
|
|
初回使用キー
|
説明
|
許容可能な値
|
|
ConfigKey = %s
|
entlist.iniのログオン構成へのリンク
|
%s = entlist.iniまたはapplist.iniのアプリケーション・ログオン・セクション名。ホスト/メインフレーム・ログオンには[*Mainframe]を、Webログオンには[*Other Webs]を、オンライン・サービス・ログオンには[*Online Services]を、その他のWindowsアプリケーション・ログオンには[*Other Apps]を使用します。
|
|
ConfigName = %s
|
ログオンを説明するために初回使用ウィザードで使用する名前。
|
%s = アプリケーション・ログオン名
|
|
Description = %s
|
ログオンを説明するためにLogon Managerで使用する名前。
|
%s = アプリケーション・ログオン名
|
|
FTU_CONFIRMID = %b
|
初回使用ウィザードでユーザーがユーザー名/IDを確認する必要があるかどうかを示すフラグ(オプション)。
|
%b = 0; ユーザーはユーザー名/IDを確認する必要はありません(デフォルト)。
%b = 1; ユーザーはユーザー名/IDを確認する必要があります。
|
|
FTU_CONFIRMOTHER = %b
|
3番目のフィールドがある場合、初回使用ウィザードでユーザーが3番目のフィールドを確認する必要があるかどうかを示すフラグ(オプション)。
|
%b = 0; ユーザーは3番目のフィールドを確認する必要はありません(デフォルト)。
%b = 1; ユーザーは3番目のフィールドを確認する必要があります。
|
|
FTU_CONFIRMPASSWORD = %b
|
初回使用ウィザードでユーザーがパスワードを確認する必要があるかどうかを示すフラグ(オプション)。
|
%b = 0; ユーザーはパスワードを確認する必要はありません(デフォルト)。
%b = 1; ユーザーはパスワードを確認する必要があります。
|
|
FTU_NeedID = %b
|
アプリケーションにユーザー名/IDが必要かどうかを示すフラグ。
|
%b = 0; アプリケーションにはユーザー名/IDは必要ありません。
%b = 1; ログオンにはユーザー名/IDが必要です(デフォルト)。
|
|
FTU_NeedOther = %b
|
アプリケーションに3番目のフィールドが必要かどうかを示すフラグ(オプション)。
|
%b = 0; アプリケーションには3番目のフィールドは必要ありません。
%b = 1; アプリケーションには3番目のフィールドが必要です(デフォルト)。
|
|
FTU_NeedPwd = %b
|
アプリケーションにパスワードが必要かどうかを示すフラグ。
|
%b = 0; アプリケーションにはパスワードは必要ありません。
%b = 1; ログオンにはパスワードが必要です(デフォルト)。
|
|
URL = %s
|
Webまたはホスト・アプリケーションのentlist.ini内のセクション名、またはentlist.iniで事前定義されていないWebサイトのURL。
|
%s = Web/ホスト・セクション名、またはWeb URL。
|
entlist.iniのキー
管理者は、entlist.iniファイルを格納するディレクトリを指定します。ほとんどの場合、このディレクトリは、Logon Managerプログラム・ディレクトリ下のサブディレクトリである必要があります。
|
|
すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、Oracle Enterprise Single Sign-On Administrative Consoleでのみ作成および編集できます。次の項の情報は参考用です。
|
これは、ローカルentlist.iniファイルをオーバーライドするシンクロナイザ・オブジェクトに対して使用される形式でもあります。
|
|
ディレクトリベースのオブジェクトによって、エージェントはすべてのローカルentlist.iniファイルを無視するようになります。ダウンロード時に、リモート・オブジェクト(ある場合)はローカルentlist.iniファイルを上書きします。
|
その後、%AppData%\Passlogixディレクトリに新規ファイル(aelist.ini)を作成するために、entlist.iniとapplist.iniがマージされます。aelist.iniファイルは、Logon Managerの起動時や、applist.iniとentlist.iniを再度マージするときなど、定期的に上書きされます。 その後、エージェントはaelist.iniを使用して、既知のアプリケーションを検出します。
次の項の表は、entlist.iniの各セクションのキーおよび許容値を示します。
・ entlist.iniのルート・キー
・ Windowsアプリケーション・キー
・ Webアプリケーション・キー
・ ホスト/メインフレーム・アプリケーション・キー
・ パスワード・ポリシー・キー
ルート・キー
次の値は、必ず[*Root]セクション内で使用します。
例
[*Root]
Section1=*Other Apps
Section2=*Other Webs
Section3=*Mainframe
AppsMaxRetry=1
WebMaxRetry=3
HostMaxRetry=2
WebTimeout=90
&
|
グローバル・アプリケーション・キー
|
説明
|
許容可能な値
|
|
[*Root]
|
アプリケーション・タイプ(ログオン・クラス)が導出されるルート・セクション。
|
N/A
|
|
AppsHideConfirmPW = %b
|
すべてのWindowsアプリケーションの「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを示します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
AppsMaxRetry = %d
|
「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべての Windowsアプリケーションのログオンの再試行回数を示します。
|
%d = 再試行の数(デフォルトは0)
|
|
AppsTimeout = %d
|
ログオンが連続して試行されている場合の、すべてのWindowsアプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。
|
%d = 秒単位の時間(デフォルトは30)
|
|
MainframeHideConfirmPW = %b
|
すべてのホスト・アプリケーションの「Logon Error」ダイアログ・ボックスのパスワード確認フィールドを非表示にするかどうかを示します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
MainframeMaxRetry = %d
|
「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべてのホスト・アプリケーションのログオンの再試行回数を示します。
|
%d = 再試行の数(デフォルトは0)
|
|
MainframeTimeout = %d
|
ログオンが連続して試行されている場合の、すべてのホスト・アプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。
|
%d = 秒単位の時間(デフォルトは30)
|
|
Section%d = %s
|
サポートされているサブセクションの宣言。
*Other Webs、*Online Servicesおよび*Other Appsはapplist.iniで定義するため、entlist.iniの[*Root]で定義する必要はありません。
|
|
%d = consecutive integers
|
|
%s = *Other Apps
|
(Windowsアプリケーション)
|
|
%s = *Mainframe
|
(ホスト/メインフレーム・アプリケーション)
|
|
%s = *Other Webs
|
(事前定義のWebアプリケーション)
|
|
%s = *Online Services
|
|
|
WebHideConfirmPW = %b
|
すべてのWebアプリケーションの「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを示します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
WebMaxRetry = %d
|
「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべてのWebアプリケーションのログオンの再試行回数を示します。
|
%d = 再試行の数(デフォルトは0)
|
|
WebTimeout = %d
|
ログオンが連続して試行されている場合の、すべてのWebアプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。
|
%d = 秒単位の時間(デフォルトは30)
|
Application Typeセクションのキー
これらの設定は、事前定義されたアプリケーションのリストの区切りとなるWindows、Webおよびホスト・アプリケーション・セクションに使用します。
例
[*Other Apps]
Section1=Corporate WinApp
&
[*Other Webs]
Section1=Corporate Intranet
&
[*Mainframe]
Section1=Corporate Mainframe
|
グローバル・アプリケーション・キー
|
説明
|
許容可能な値
|
|
[%s]
|
アプリケーション・カテゴリ・セクションを識別するセクション・ヘッダー。
|
|
%s = [*Other Apps]
|
(Windowsアプリケーション)
|
|
%s = [*Mainframe]
|
(ホスト/メインフレーム・アプリケーション)
|
|
%s = [*Other Webs]
|
(事前定義のWebアプリケーション)
|
|
|
Section%d = %s
|
アプリケーション・セクションの宣言。
|
%d = consecutive integers
%s = セクション名
|
Windowsアプリケーション・キー
次の値は、[*Other Apps]セクション内に記述されているアプリケーション内で使用します。
例
[*Other Apps]
Section1=Corporate WinApp
&
[Corporate WinApp]
|
Windowsアプリケーション・キー
|
説明
|
許容可能な値
|
|
AllowReveal = %b
|
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
AppPathKey%d = %s
|
実行中のプロセスと照合するために、ログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。ログオン・リクエストの正確な一致のためにWindowTitleと組み合せて使用します。複数のレジストリ・キーを単一のログオンに関連付けられるように、%dを1で始まる数字に置き換えます。
|
%d = consecutive integers
%s = Windowsレジストリで使用されるアプリケーション名文字列
(通常は、実行可能ファイルの名と一致)
|
|
AutoOK = %b
|
ログオン・データの挿入後にこのアプリケーション・ログオンに対する「OK」を自動的に選択するようエージェントに指示するフラグ。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
ChangeTitle%d = %s
|
パスワード変更リクエストを識別するためにパスワード変更ウィンドウ・タイトルと照合されるテキスト。単一のパスワード変更リクエストについて複数のウィンドウを識別できるように、%dを1で始まる数字に置き換えます。
各ChangeTitleエントリに対して、重複したWindowTitleエントリが必要です。
|
%d = consecutive integers
%s = ウィンドウ・タイトル文字列
|
|
ChgCtrl0 = %d
|
パスワード変更リクエスト・ウィンドウで、ユーザー名/IDフィールドを識別するために使用するコントロールID。
|
%d = -1; 変更リクエストにユーザー名/IDは必要ありません。
%d = 1; 変更リクエストにはユーザー名/IDが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。この値を1にした場合は、それ以外のすべてのコントロールID (IDCtrl、PassKeyCtrl、OtherCtrl1、OtherCtrl2,、OKCtrl、ChgCtrl1、ChgCtrl2およびChgCtrl3)も1または-1にする必要があります。
%d = 2 - 99,999; コントロールID値
|
|
ChgCtrl1 = %d
|
パスワード変更リクエスト・ウィンドウで、旧パスワード・フィールドを識別するために使用するコントロールID。
|
%d = -1; 変更リクエストに古いパスワードは必要ありません。
%d = 1; 変更リクエストにはパスワードが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。この値が1の場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; コントロールID値
|
|
ChgCtrl2 = %d
|
パスワード変更リクエスト・ウィンドウで、新しいパスワード・フィールドを識別するために使用するコントロールID。
|
%d = -1; 変更リクエストに新しいパスワードは必要ありません。
%d = 1; 変更リクエストにはパスワードが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。この値が1の場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; コントロールID値
|
|
ChgCtrl3 = %d
|
パスワード変更リクエスト・ウィンドウで、パスワード確認フィールドを識別するために使用するコントロールID。
|
%d = -1; 変更リクエストに新規パスワードの確認エントリは必要ありません。
%d = 1; 変更リクエストには新規パスワードの確認エントリが必要ですが、このリクエストは SendKeysを使用してアプリケーションに送信されます。この値が1の場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; コントロールID値
|
|
ConfigName = %d
|
ユーザーがこのログオンを追加するときに、初期構成名の作成に使用するテキストを含むコントロールを識別するコントロールID。
|
%d = 1 - 99,999; コントロールID値
|
|
CPWFlag = %d
|
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
|
|
この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。
|
|
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
%d = 2; ユーザーに手動で新しいパスワードを入力するように求めるだけでなく、エージェントに自動的にパスワードを生成させるオプションも提供します。
%d = 4; 自動的に新しいパスワードを生成するだけでなく、手動で新しいパスワードを作成するオプションも提供します。
%d = 10; ユーザーに手動で新しいパスワードを入力するように求めます。エージェントに自動的にパスワードを生成させるオプションは提供しません。
%d = 12; 自動的に新しいパスワードを生成します。手動で新しいパスワードを作成するオプションは提供しません。
|
|
CtrlOrder = %s1, %s2, %s3&
|
UseSendKeysが有効な場合にフィールドが送信される順序を決定します。たとえば、CtrlOrder = OtherCtrl1, IDCtrl, PassKeyCtrlを指定すると、ダイアログ・ボックスのタブの順序がOtherCtrl1、IDCtrl、PassKeyCtrlとなるようにエージェントに指示されます。
ログオンでは、デフォルトの順序はIDCtrl、PassKeyCtrl、OtherCtrl1、OtherCtrl2です。
Tony/Drew: What is CtrlOrder default for password change scenario?
パスワード変更では、デフォルトの順序はChgCtrl0、ChgCtrl1、ChgCtrl2、ChgCtrl3です。
|
|
この設定は、UseSendKeysが有効で、Windowsアプリケーションのみを使用する場合にかぎり適用されます。
|
|
%s1 = 最初のフィールドが送信されます。
%s2 = 2番目のフィールドが送信されます。
%s3 = 3番目のフィールドが送信されます。
など。
|
|
Description = %s
|
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。
|
%s = 任意の文字列
|
|
ExtMap = %s
|
ログオンに関連付けられているWindowsファイルの拡張子。エージェントが構成にアイコンをマップできるようにします。
|
%s = ファイル拡張子を表す3文字の文字列
|
|
ForceReauth = %b
|
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
|
|
すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。
|
|
%b = 0; 再認証は必要ありません(デフォルト)。
%b = 1; 再認証が必要です。
|
|
Group = %s
|
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
LDAP: アプリケーションでは、LDAPディレクトリ・サーバー・オーセンティケータ・パスワードが使用されます。
ドメイン: アプリケーションでは、Windowsオーセンティケータ・パスワードが使用されます。
|
|
グループを使用可能にするには、Windowsレジストリ・エントリPWSEnable=1を設定する必要があります。
|
|
%s = アプリケーションが所属するアプリケーション・グループのセクション名。
|
|
HideConfirmPW = %b
|
「Logon Error」ダイアログ・ボックスのパスワード確認フィールドを非表示にするかどうかを決定します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
IDCtrl = %d
|
ユーザー名/IDコントロール・フィールド、またはユーザー名/IDデータを適切なユーザー名/IDコントロールに提供するメカニズム、あるいはその両方を識別します。
|
%d = 0; ユーザーは、アプリケーションの設定中にエージェントの指示ツール・メカニズムを使用する必要があります(デフォルト)。
%d = -1; アプリケーションにはユーザー名/IDは必要ありません。
%d = 1; アプリケーションにはユーザー名/IDが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。この値を1にした場合は、それ以外のすべてのコントロールID (PassKeyCtrl、OtherCtrl1、OtherCtrl2、OKCtrl、ChgCtrl0、ChgCtrl1、ChgCtrl2およびChgCtrl3)も1または-1にする必要があります。
%d = 2 - 99,999; ユーザー名/IDコントロールID値
|
|
IDCtrlType = %d
|
ユーザー名/IDコントロール・フィールドのコントロール・タイプを識別します。
|
%d = 0; 編集コントロール(デフォルト)
%d = 1; コンボボックス・コントロール
%d = 2; リストボックス・コントロール
|
|
IgnoreClassName = %s
|
資格証明の送信時に無視する必要があるログオンまたはパスワード変更ウィンドウのクラス名を識別します。アプリケーションに2番目の非表示のログオンまたはパスワード変更ウィンドウが含まれている場合に使用します。
|
%s = クラス名文字列
|
|
InteractionMode = %b
|
エージェントがアプリケーションのウィンドウのメッセージ・キューにアタッチするのを回避します。
|
%b = 0; 無効(デフォルト)
%b = 1; 有効
|
|
Match%d = %s
|
アプリケーションへの一致セクションにマップします。同じアプリケーションに、複数のログオンおよびパスワード変更画面がある場合に使用します。この方法は、アプリケーション内の複数の画面に対して1セットのユーザー資格証明がある場合に最も役立ちます。この方法を使用することにより、一致セクションをログオンやパスワード変更(選択と手動)用に設定したり、無視するように設定できます。
|
%d = consecutive integers
%s = アプリケーション・ログオン名(ログオン定義セクション)
|
|
MaxRetry = %d
|
「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うログオンの再試行回数を決定します。
|
%d = 再試行の数(デフォルトは0)
|
|
ModuleName%d = %s
|
実行中のプロセスと照合するために、ログオンに関連付けられているアプリケーション・モジュール名。特定のアプリケーション・ログオン、またはパスワード変更リクエストを識別するために、WindowTitleキーと組み合せて使用します。 複数のアプリケーション・モジュールを単一のログオンに関連付けられるように、%dを1で始まる数字に置き換えます。
|
%d = consecutive integers
%s = アプリケーション名文字列
(通常は、実行可能ファイル名と一致)
|
|
OKCtrl = %d
|
このアプリケーションの「OK」ボタンのコントロールIDを識別します。
|
%d = 1; エージェントの内部ロジックを使用します(デフォルト)
%d = 2 - 99,999; 「OK」ボタンのコントロールID
%d = -1; ユーザーは手動で「OK」を選択する必要があります。
|
|
OtherCtrl1 = %d
|
3番目のログオン・フィールドのコントロールID、または追加のフィールド・データを適切なコントロールに提供するメカニズム、あるいはその両方を識別します。
|
%d = -1; アプリケーションには3番目のフィールドは必要ありません。
%d = 1; アプリケーションには3番目のフィールドが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。 この値を1にした場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; 3番目のフィールドのコントロールID値; Send Keysを使用する場合は、任意の値にできます。
|
|
OtherCtrl1Type = %d
|
3番目のログオン・フィールドのコントロール・タイプを識別します。
|
%d = 0; 編集コントロール(デフォルト)
%d = 1; コンボボックス・コントロール
%d = 2; リストボックス・コントロール
|
|
OtherCtrl2 = %d
|
4番目のログオン・フィールドのコントロールID、または追加のフィールド・データを適切なコントロールに提供するメカニズム、あるいはその両方を識別します。
|
%d = -1; アプリケーションには4番目のフィールドは必要ありません。
%d = 1; アプリケーションには4番目のフィールドが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。 この値を1にした場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; 4番目のフィールド・コントロールID値; Send Keysを使用する場合は、任意の値にできます。
|
|
OtherCtrl2Type = %d
|
4番目のログオン・フィールドのコントロール・タイプを識別します。
|
%d = 0; 編集コントロール(デフォルト)
%d = 1; コンボボックス・コントロール
%d = 2; リストボックス・コントロール
|
|
OtherLabel1 = %s
|
3番目のログオン・フィールドを表示するときにエージェントによって使用されるテキスト・ラベル。
|
%s = エージェントが表示するテキスト
|
|
OtherLabel2 = %s
|
4番目のログオン・フィールドを表示するときにエージェントによって使用されるテキスト・ラベル。
|
%s = エージェントが表示するテキスト
|
|
ParentKey1 = %s
|
サブセクションをその親セクションにマップします。
|
%s = 親アプリケーション/セクション名
|
|
PassKeyCtrl = %d
|
パスワード・コントロール・フィールド、またはパスワード・データを適切なパスワード・コントロールに提供するメカニズム、あるいはその両方を識別します。
|
%d = 0; ユーザーは、アプリケーションの設定中にエージェントの指示ツール・メカニズムを使用する必要があります。
%d = -1; アプリケーションにはパスワードは必要ありません。
%d = 1; アプリケーションにはパスワードが必要ですが、このリクエストはSend Keysを使用してアプリケーションに送信されます。 この値を1にした場合は、それ以外のすべてのコントロールIDも1または-1にする必要があります。
%d = 2 - 99,999; パスワード・コントロールID値; Send Keysを使用する場合は、任意の値にできます。
|
|
PassKeyCtrlType = %d
|
パスワード・コントロール・フィールドのコントロール・タイプを識別します。
|
%d = 0; 編集コントロール(デフォルト)
%d = 1; コンボボックス・コントロール
%d = 2; リストボックス・コントロール
|
|
PassPolicy = %s
|
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。
|
%s = ポリシー・セクション名
|
|
PresetFocusAll = %b
|
エージェントがログオン・フィールドに実際にデータを配置する前に、そのフィールドにフォーカスを設定するかどうかを指定します。
|
%b = 0; 無効(デフォルト)
%b = 1; 有効
|
|
QuietGenerator = %b
|
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。
|
%b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
%b = 1; ユーザーの操作が不要なジェネレータを使用します。
|
|
Section%d = %s
|
アプリケーション・サブセクションの宣言。
|
%d = consecutive integers
%s = サブセクション名
|
|
SystemLogon = %b
|
予約語。ログオン・セクションがシステム・ログオン・セクションであるかどうかを識別するフラグ。
|
%b = 0; システム・ログオン・セクションではありません(デフォルト)。
%b = 1; システム・ログオン・セクションです。
|
|
Timeout = %d
|
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。
|
%d = 秒単位の時間(デフォルトは30)
|
|
UseSendKeys = %b
|
キーストロークによってアプリケーションにフィールドを送信します。
UseSendKeysを選択した場合、必要に応じて、IDCtrl、PassKeyCtrl、OtherCtrl1、OtherCtrl2、および(存在する場合)ChgCtrl0、ChgCtrl1、ChgCtrl2、ChgCtrl3変数をすべて1に設定する必要があります。
|
%b = 0; Send Keysを使用しません; コントロールIDを使用します(デフォルト)。
%b = 1; Send Keysを使用します。
|
|
VTabKey%d0 = %d1
|
各資格証明フィールドの前後に送信する文字/遅延シーケンスを指定します。
|
|
フィールドは、CtrlOrderに指定した順序で送信されます。
UseSendKeysも有効にする必要があります。
指定した値として何も送信しない場合は、``(1行に2つのバッククオート)という値を指定します。
|
|
%d0 = 1; 最初の資格証明フィールドの前に送信するシーケンス
%d0 = 2; 最初のフィールドの後かつ2番目のフィールドの前に送信するシーケンス
- その他; %dは無関係。
%d1 = 送信(表示)するコード・シーケンス(デフォルトは標準のタブ・キー)
|
|
VTabKeyPWC%d0 = %d1
|
各資格証明フィールドの前後に送信する文字/遅延シーケンスを指定します。
|
|
フィールドは、CtrlOrderに指定した順序で送信されます。
UseSendKeysも有効にする必要があります。
指定した値として何も送信しない場合は、``(2つのバッククオート)という値を指定します。
|
|
%d0 = 1; 最初の資格証明フィールドの前に送信するシーケンス
%d0 = 2; 最初のフィールドの後かつ2番目のフィールドの前に送信するシーケンス
- その他; %dは無関係。
%d1 = 送信(表示)するコード・シーケンス(デフォルトは標準のタブ・キー)
|
|
WindowTitle%d = %s
|
ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルと照合されるテキスト。単一のログオンについて複数のウィンドウを識別できるように、%dを1で始まる数字に置き換えます。
|
%d = consecutive integers
%s = ウィンドウ・タイトル文字列
|
SectionNサブセクションのWindowsアプリケーション・キー
次の値は、SectionNによって区切られているサブセクション内で使用します。
例
[Corporate WinApp]
Section1=~Corporate WinApp Logon
Section2=~Corporate WinApp Password Change
&
[~Corporate WinApp Logon]
|
Windowsアプリケーション・キー
|
説明
|
許容可能な値
|
|
AppPathKey%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChangeTitle%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl0 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl1 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl2 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl3 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
CtrlOrder = %s1, %s2, %s3&
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
IDCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
IDCtrlType = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
IgnoreClassName = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
InteractionMode = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Match%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ModuleName%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OKCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl1 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl1Type = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl2 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl2Type = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ParentKey1 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassKeyCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassKeyCtrlType = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
VTabKey%d0 = %d1
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
VTabKeyPWC%d0 = %d1
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
UseSendKeys = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
WindowTitle%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
MatchNサブセクションのWindowsアプリケーション・キー
次の値は、MatchNによって区切られているサブセクション内で使用します。
例
[Corporate WinApp
Section1=~Whatever subsection
Match1=~Corporate WinApp Logon Match
Match2=~Corporate WinApp Ignore Match
&
[~Corporate WinApp Ignore Match]
|
Matchセクションのキー
|
説明
|
許容可能な値
|
|
ChangeTitle%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl0 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl1 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl2 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ChgCtrl3 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Field%d0 = %d1,%s1,%s2,%s3
|
フィールドの一致基準。1つの画面に対して複数の一致基準を設定できるように、%d1は1で始まる数字に置き換えます。%d2は一致基準のコントロールIDに置き換えます。%s1はコントロール・タイプに置き換えます。%s2は比較演算子に置き換えます。%s3は比較値に置き換えます。
|
%d0 = 連続した整数
%d1 = 一致基準のコントロールID
%s1 = %s3に適切な値を入れて、コントロール・タイプを次のようにできます。
|
text
|
コントロールからの実際のテキスト
|
|
style
|
コントロールのスタイルの数値
|
|
class
|
コントロールのクラス(通常は、「Edit」または「Static」)
|
|
Edit
|
編集またはコンボボックス・コントロール
|
|
Static
|
静的コントロール(テキスト・ラベルなど)
|
%s2 = 比較演算子を次のようにできます。
%s3 = 比較値
|
|
IDCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OKCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl1 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherCtrl2 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ParentKey1 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassKeyCtrl = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Type = %s
|
イベントのタイプ。
|
%s = 次のタイプの文字列:
|
Logon
|
ログオン・イベント
|
|
Change
|
パスワード変更イベント
|
|
Confirm
|
新しいパスワードの確認
|
|
Ignore
|
アプリケーションのすべてのイベントのバイパス
|
|
|
WindowTitle%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
ホスト/メインフレーム・アプリケーション・キー
次の値は、[*Mainframe]セクション内に記述されているアプリケーション内で使用します。
行/列値がある次のすべてのキーの場合、行/列値は1で始まります(左上は1,1となります)。
|
|
Telnetの場合、値は1,1にする必要があります。
|
例
[*Mainframe]
Section1=Corporate Mainframe
&
[Corporate Mainframe]
|
ホスト・アプリケーション・キー
|
説明
|
許容可能な値
|
|
AllowReveal = %b
|
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
AltTabKey = %d
|
資格証明をホスト・エミュレータに送信する方法を示すフラグ。通常、資格証明はダイレクトHLLAPIコールによって送信されますが、この設定では別の方法を使用することを指定します。この設定を1に設定した場合は、2つのフィールドの間で[Enter]を押します。通常、この設定は、新しいパスワードと確認パスワードを2つの画面に分けるパスワード変更画面に使用します。
|
|
通常、%d=1は新しいパスワード・フィールドと確認パスワードを2つの画面に分けるパスワード変更で使用します。
|
|
%d = 0; HLLAPIを使用して、資格証明を資格証明フィールドに直接送信します(デフォルト)。
%d = 1; 2つのフィールド間で、[Tab]キーと[Enter]キーを置き換えます。
%d = 2; HLLAPI SendKeysを使用し、CtrlOrder、PreKeyおよびTabKeyNのサポートを有効にします。この設定は、標準以外の資格証明デリミタがあるログオンの場合に役立ちます。
|
|
AutoOK = %b
|
ログオン・データの挿入後にこのアプリケーション・ログオンに対する[Enter]を自動的に送信するようエージェントに指示します。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
CPWFlag = %d
|
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
|
|
この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。手順を参照してください。
|
|
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
%d = 2; ユーザーに手動で新しいパスワードを入力するように求めるだけでなく、エージェントに自動的にパスワードを生成させるオプションも提供します。
%d = 4; 自動的に新しいパスワードを生成するだけでなく、手動で新しいパスワードを作成するオプションも提供します。
%d = 10; ユーザーに手動で新しいパスワードを入力するように求めます。エージェントに自動的にパスワードを生成させるオプションは提供しません。
%d = 12; 自動的に新しいパスワードを生成します。手動で新しいパスワードを作成するオプションは提供しません。
|
|
CtrlOrder = %s1,%s2,%s3,%s4,%s5
|
AltTabKey=2の場合にフィールドが送信される順序を決定します。
たとえば、CtrlOrder=OtherField1,IDField,PassFieldを指定すると、ダイアログ・ボックス内の順序がOtherField1、IDField、PassFieldとなるようにエージェントに指示されます。
|
%s1 = 最初のフィールドが送信されます(デフォルトはIDField)。
%s2 = 2番目のフィールドが送信されます(デフォルトはPassField)。
%s3 = 3番目のフィールドが送信されます(デフォルトはOtherField1)。
%s4 = 4番目のフィールドが送信されます(デフォルトはNewPWField)。
%s5 = 5番目のフィールドが送信されます(デフォルトはNewPWField2)。
%s6 = 6番目のフィールドが送信されます(デフォルトはOtherField2)。
|
|
DelayField = %d
|
アクション(フィールドに値を入力するなど)とアクションの間でエージェントが遅延する数値(ミリ秒)。
|
%d = 整数値(ミリ秒)
|
|
Description = %s
|
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。
|
%s = 任意の文字列
|
|
Field%d0 = %d1, %d2, %s
|
ホスト/メインフレーム・ログオンを識別するために画面に表示されているテキスト・フィールドと照合する文字列。ログオンを一意に識別するために複数のテキスト文字列を使用できるように、%d0を1で始まる数字に置き換えます。Telnetアプリケーションの場合、値は1,1にする必要があります。
|
%d0 = 連続した整数
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
%s = テキスト文字列
|
|
ForceReauth = %b
|
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
|
|
すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。
|
|
%b = 0; 再認証は必要ありません(デフォルト)。
%b = 1; 再認証が必要です。
|
|
Group = %s
|
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
LDAP: アプリケーションでは、LDAPディレクトリ・サーバー・オーセンティケータ・パスワードが使用されます。
ドメイン: アプリケーションでは、Windowsオーセンティケータ・パスワードが使用されます。
詳細は、該当する説明を参照してください。
|
|
グループを使用可能にするには、Windowsレジストリ・エントリPWSEnable=1を設定する必要があります。
|
|
%s = アプリケーションが所属するアプリケーション・グループのセクション名。
|
|
HideConfirmPW = %b
|
「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを決定します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
IDField = %d1, %d2
|
ホスト/メインフレーム・ログオン画面に表示されているユーザー名/IDフィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。フィールドが存在しない場合は、1,0に設定します。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
MaxRetry = %d
|
「Logon Error」ダイアログを表示する前に、エージェントが行うログオンの再試行回数を決定します。
|
%d = 再試行の数(デフォルトは0)
|
|
NewPWField = %d1,%d2
|
新しいパスワード・フィールドの場所を識別するキー値のペア。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
NewPWField2 = %d1,%d2
|
新しいパスワードの確認フィールドの場所を識別するキー値のペア。これはオプションです。 必要な新しいパスワード・フィールドが1つのみである場合は必要ありません。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
OtherField1 = %d1, %d2
|
ホスト/メインフレーム・ログオン画面に表示されている3番目のログオン・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
OtherField2 = %d1, %d2
|
ホスト/メインフレーム・ログオン画面に表示されている4番目のログオン・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
OtherLabel1 = %s
|
3番目のログオン・フィールドに対してエージェント内で表示されるラベル。
|
%s = テキスト文字列
|
|
OtherLabel2 = %s
|
4番目のログオン・フィールドに対してエージェント内で表示されるラベル。
|
%s = テキスト文字列
|
|
Page%d = %s
|
1つのホスト/メインフレーム・アプリケーションの複数のページに使用されるサブセクションへのポインタ。1つのアプリケーション・ログオンに複数のページがある場合があります。
|
%d = consecutive integers
%s = サブセクション名
|
|
ParentKey1 = %s
|
サブセクションをその親セクションにマップします。
|
%s = 親アプリケーション/セクション名
|
|
PassField = %d1, %d2
|
ホスト/メインフレーム・ログオン画面に表示されているパスワード・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、値は1,1にする必要があります。フィールドが存在しない場合は、1,0に設定します。
|
%d1 = 最初のテキスト文字列の行
%d2 = 最初のテキスト文字列の列
|
|
PassPolicy = %s
|
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。
|
%s = ポリシー・セクション名
|
|
PreKey = %d
|
すべての資格証明の送信前に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
QuietGenerator = %b
|
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。
|
%b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
%b = 1; ユーザーの操作が不要なジェネレータを使用します。
|
|
TabKey1 = %d
|
IDFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
TabKey2 = %d
|
PassFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
TabKey3 = %d
|
OtherField1の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
TabKey4 = %d
|
NewPWFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
TabKey5 = %d
|
NewPWField2の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。
|
|
TabKey6 = %d
|
OtherField2の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。
|
文字または ASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は 25文字です。
|
|
Timeout = %d
|
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。
|
%d = 秒単位の時間(デフォルトは30)
|
PageNサブセクションのホスト・アプリケーション・キー
例
[Corporate Mainframe]
Page1=~Corporate Mainframe Logon
Page2=~Corporate Mainframe Password Change
[~Corporate Mainframe Logon]
|
ホスト・アプリケーション・キー
|
説明
|
許容可能な値
|
|
AllowReveal = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
AltTabKey = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
AutoOK = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
CPWFlag = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
CtrlOrder = %s1,%s2,%s3,%s4,%s5
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
DelayField = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Description = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Field%d0 = %d1, %d2, %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ForceReauth = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Group = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
HideConfirmPW = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
IDField = %d1, %d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
MaskPW = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
MaxRetry = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
NewPWField = %d1,%d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
NewPWField2 = %d1,%d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherField1 = %d1, %d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherField2 = %d1, %d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherLabel1 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherLabel2 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Page%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ParentKey1 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassField = %d1, %d2
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassPolicy = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PreKey = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
QuietGenerator = %b
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
TabKey1 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
TabKey2 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
TabKey3 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
TabKey4 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
TabKey5 = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
Timeout = %d
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
Webアプリケーション・キー
次の値は、[*Other Webs]セクション内に記述されているアプリケーション内で使用します。
例
[*Mainframe]
Section1=Corporate Mainframe
&
[Corporate Mainframe]
|
Webアプリケーション・キー
|
説明
|
許容可能な値
|
|
AllowReveal = %b
|
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
AutoOK = %b
|
ログオン・データの挿入後にこのアプリケーション・ログオンに対する[Enter]を自動的に送信するようエージェントに指示します。
|
%b = 0; 無効
%b = 1; 有効(デフォルト)
|
|
CPWFlag = %d
|
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
|
|
この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。
|
|
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
%d = 2; ユーザーに手動で新しいパスワードを入力するように求めるだけでなく、エージェントに自動的にパスワードを生成させるオプションも提供します。
%d = 4; 自動的に新しいパスワードを生成するだけでなく、手動で新しいパスワードを作成するオプションも提供します。
%d = 10; ユーザーに手動で新しいパスワードを入力するように求めます。エージェントに自動的にパスワードを生成させるオプションは提供しません。
%d = 12; 自動的に新しいパスワードを生成します。手動で新しいパスワードを作成するオプションは提供しません。
|
|
Description = %s
|
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。
|
%s = 任意の文字列
|
|
ForceReauth = %b
|
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
|
|
すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。
|
|
%b = 0; 再認証は必要ありません(デフォルト)。
%b = 1; 再認証が必要です。
|
|
Group = %s
|
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
LDAP: アプリケーションでは、LDAPディレクトリ・サーバー・オーセンティケータ・パスワードが使用されます。
ドメイン: アプリケーションでは、Windowsオーセンティケータ・パスワードが使用されます。
|
|
グループを使用可能にするには、Windowsレジストリ・エントリPWSEnable=1を設定する必要があります。
|
|
%s = アプリケーションが所属するアプリケーション・グループのセクション名。
|
|
HideConfirmPW = %b
|
「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを決定します。
|
%b = 0; 確認フィールドを非表示にしません(デフォルト)。
%b = 1; 確認フィールドを非表示にします。
|
|
IDField = %s1,%s2,%s3,%s4
|
ユーザー名/IDを入力するためのフィールドのID。
|
|
フレーム/フォーム/フィールドの名前が数字のみで構成されている場合は、列挙値を使用する必要があります。
|
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
MaxRetry = %d
|
「Logon Error」ダイアログを表示する前に、エージェントが行うログオンの再試行回数を決定します。
|
%d = 再試行の数(デフォルトは0)
|
|
NewPWField = %s1,%s2,%s3,%s4
|
新しいパスワードを入力するためのフィールドのID。
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
NewPWField2 = %s1,%s2,%s3,%s4
|
新しいパスワードを確認するためのフィールドのID。
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
OtherField1 = %s1,%s2,%s3,%s4
|
3番目のログオン・フィールドのID。
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
OtherField2 = %s1,%s2,%s3,%s4
|
4番目のログオン・フィールドのID。
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
OtherLabel1 = %s
|
3番目のログオン・フィールドに対してエージェント内で表示されるラベル。
|
%s = テキスト文字列
|
|
OtherLabel2 = %s
|
4番目のログオン・フィールドに対してエージェント内で表示されるラベル。
|
%s = テキスト文字列
|
|
ParentKey1 = %s
|
サブセクションをその親セクションにマップします。
|
%s = 親アプリケーション/セクション名
|
|
PassField = %s1,%s2,%s3,%s4
|
パスワードを入力するためのフィールドのID。
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号
%s4 = フィールド・タイプ(テキスト/パスワード)
|
|
PassPolicy = %s
|
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。
|
%s = ポリシー・セクション名
|
|
QuietGenerator = %b
|
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。
|
%b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
%b = 1; ユーザーの操作が不要なジェネレータを使用します。
|
|
Section%d = %s
|
アプリケーション・サブセクションの宣言。
|
%d = consecutive integers
%s = サブセクション名
|
|
StrictURLCheck = %b
|
URLの正確な(大/小文字を区別しない)一致を必要とするか、文字列の部分一致を使用するかを決定します。
|
%b = 0; 文字列の部分一致を使用します(デフォルト)。
%b = 1; 正確な一致を使用します。
|
|
SubmitField = %s1,%s2,%s3,%s4
|
「Submit」ボタン(または同等のもの)のID。
値の形式は、フレーム名/番号、フォーム名/番号、フィールド名/番号/URL、およびフィールド・タイプです。フィールド・タイプがイメージの場合、フィールド名は完全かつ正確なURLにする必要があります。
|
|
このエントリはオプションです。指定しない場合、エージェントでは独自の内部検索ロジックによってこのボタンが特定され、押されます。
|
|
%s1 = フレーム名/番号
%s2 = フォーム名/番号
%s3 = フィールド名/番号/URL
%s4 = フィールド・タイプ(送信/イメージ)
|
|
Timeout = %d
|
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。
|
%d = 秒単位の時間(デフォルトは30)
|
|
URL%d = %s
|
Webサイトのログオン・ページのアドレス。
注意: Webアドレスが空白や特殊文字で構成されている場合は、URL引用方法(RFC 2396)を使用してWebアドレスを定義します。これは、URLの各空白に%20を代用し、 : / , . = ? @以外のすべての文字に、同様の%でエスケープされたASCII 16進値を代用することを意味します。
|
%d = 1で始まる連続した整数
%s = Web URL
|
SectionNサブセクションのWebアプリケーション・キー
次の値は、SectionNによって区切られているサブセクション内で使用します。
例
[Corporate WebApp]
Section1=~Corporate Intranet Logon #1
Section2=~Corporate Intranet Logon #2
&
[~Corporate Intranet Logon #1]
|
Webアプリケーション・キー
|
説明
|
許容可能な値
|
|
IDField = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
NewPWField = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
NewPWField2 = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherField1 = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
OtherField2 = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
ParentKey1 = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
PassField = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
SubmitField = %s1,%s2,%s3,%s4
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
|
URL%d = %s
|
(前述の親セクションを参照)
|
(前述の親セクションを参照)
|
パスワード・ポリシー・キー
次の値は、[*PasswordPolicies]セクション内のSectionNによって区切られているサブセクション内で使用します。
例
[*PasswordPolicies
Section1=A policy
Section2=PIN
Section3=Windows
&
[A policy]
|
パスワード・ポリシー・キー
|
説明
|
許容可能な値
|
|
ALPHA = %s
|
パスワードの生成時にアルファベット文字を使用するようにエージェントに指示するフラグ。
|
%s = U; 大文字のアルファベット文字のみを使用します。
%s = L; 小文字のアルファベット文字のみを使用します。
%s = UL; 大文字と小文字を使用します(デフォルト)。
%s =(なし);アルファベット文字を使用しません。
|
|
NAME = %s
|
このパスワード・ポリシーのわかりやすい名前。
|
%s = 任意の文字列
|
|
NUMCONSMAX = %d
|
パスワード内で特定の文字を連続して(その文字に隣接して)繰り返すことができる回数。
|
%d = 0から127 (デフォルトは8)
|
|
NUMERIC = %b
|
パスワードの生成時に数字を使用するようにエージェントに指示するフラグ。
|
%b = 0; 数字を使用しません(デフォルト)。
%b = 1; 数字を使用します。
|
|
NUMFLAGFIRST = %b
|
数字をパスワードの先頭にできるかどうかを示すフラグ。
|
%b = 0; 数字を先頭にすることはできません(デフォルト)。
%b = 1; 数字を先頭にできます。
|
|
NUMFLAGLAST = %b
|
数字をパスワードの末尾にできるかどうかを示すフラグ。
|
%b = 0; 数字を末尾にすることはできません(デフォルト)。
%b = 1; 数字を末尾にできます。
|
|
NUMRPTMAX = %d
|
パスワード内で文字を繰り返すことができる回数。
|
%d = 0から127 (デフォルトは8)
|
|
NUMSIZE = %d
|
数字の最大数。
|
%d = 0から128 (デフォルトは0)
|
|
NUMSIZEMIN = %d
|
数字の最小数。
|
%d = 0から128 (デフォルトは0)
|
|
SBYE = %s
|
このパスワードの生成時に除外する特殊文字のリスト。
|
%s = 次のような、除外する特殊文字の任意の文字列
!@#$
通常使用されるが、除外できる特殊文字のリストを保持するWindowsレジストリ・キーのペアは、AccessManager:SpecialCharsです。
|
|
SCHARFLAGFIRST = %b
|
特殊文字をパスワードの先頭にできるかどうかを示すフラグ。
|
%b = 0; 特殊文字を先頭にすることはできません(デフォルト)。
%b = 1; 特殊文字を末尾にできます。
|
|
SCHARFLAGLAST = %b
|
特殊文字をパスワードの末尾にできるかどうかを示すフラグ。
|
%b = 0; 特殊文字を末尾にすることはできません(デフォルト)。
%b = 1; 特殊文字を先頭にできます。
|
|
SCHARS = %b
|
パスワードの生成時に特殊文字を使用するようにエージェントに指示するフラグ。
|
%b = 0; 特殊文字を使用しません(デフォルト)。
%b = 1; 特殊文字を使用します。
|
|
SCHARSIZE = %d
|
特殊文字の最大数。
|
%d = 0から128 (デフォルトは0)
|
|
SCHARSIZEMIN = %d
|
特殊文字の最小数。
|
%d = 0から128 (デフォルトは0)
|
|
SIZE = %d
|
パスワードの合計最大長。
|
%d = 1から255 (デフォルトは8)
|
|
SIZEMIN = %d
|
パスワードの合計最小長。
|
%d = 1から255 (デフォルトは8)
|
Password Resetのデータ構造の理解
概要
この項では、Password Resetがその操作中にデータベースに格納するデータの例と、このデータがデータベースにどのように格納されるかを示します。次のタイプのデータについて説明します。
・ Password Resetのデータベース表
・ 主要な構成データ(SYSTEMPARAMETERS表)
・ ロギングの構成データ(SYSTEMPARAMETERS表)
・ システムのチャレンジ質問データ(SYSTEMPARAMETERS表)
・ ユーザー登録データ(ENROLLMENTINFORMATION、USERQUESTIONS、およびUSER表)
・ Password Resetデータ(RESETINFORMATION表)
・ ログ・メッセージ・データ(SYSLOG)
|
|
この情報は参考として記載されており、実際の構成手順を示すものではありません(その結果は例に示されています)。このガイドで説明する構成フォームおよび設定へのアクセス方法の詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
|
Password Resetのデータベース表
Password Resetデータベース・スキーマの初期化プロセスでは、次の表が作成されます。
・ SYSTEMPARAMETERS. メインのPassword Reset構成データが格納されます。
・ ENROLLMENTINFORMATION. ユーザー登録データが格納されます。
・ RESETINFORMATION. パスワード・リセット・データが格納されます。
・ USERQUESTIONS. ユーザーが作成した登録チャレンジ質問が格納されます。
・ USER. Password Resetで登録されたユーザー・アカウントが格納されます。
・ SYSTEMQUESTIONS. システム全体の必須の登録チャレンジ質問が格納されます。
主要な構成データ(SYSTEMPARAMETERS表)
この例では、Password Resetを次のように構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
・ AuthSuccessLevel="150"
・ AuthFailureLevel="-150"
・ EnrollLevel="200"
・ UserQuestionCorrectResponseWeight="0"
・ UserQuestionWrongResponseWeight="0"
・ MinUserDefinedQuestions="0"
・ MaxUserDefinedQuestions="0"
・ AdminServiceStatus="0"
・ OperationalServiceState="0"
・ UserLockoutCount="3"
・ UserLockoutHours="24"
・ ByPassForceEnrollment="3"
・ ExcludedUsers=""
・ UserEmailRequired="0"
・ UserEmailFormat="[A-Za-z0-9._\-]+@[A-Za-z0-9._\-]+[.][A-Za-z][A-Za-z][A-Za-z]?"
・ ShowUnlockOption="false"
・ EnableTempPasswordMode="false"
さらに、次のロギング構成データがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
・ SyslogEnable="false"
・ SyslogPort="514"
・ EventFilter="0"
ロギングの構成データ(SYSTEMPARAMETERS表)
この例では、Password Resetのロギングを次のように構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
・ SyslogEnable="true"
・ SyslogServer="cmdemo.sedemo.passlog"
・ SyslogPort="514"
・ EventFilter="2031623"
システムのチャレンジ質問データ(SYSTEMPARAMETERS表)
この例では、Password Resetのシステム・チャレンジ質問を次のように構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
|
QUID
|
99a96ea2-671c-4db6-941c-058a6986123b
|
|
QUESTION
|
QuestionText="What is your favorite hockey team?"
AnswerSource="1"
CorrectResponseWeight="50"
DisableState="1"
Required="true"
SystemQUID="99a96ea2-671c-4db6-941c-058a6986123b"
QUID="99a96ea2-671c-4db6-941c-058a6986123b"
WrongResponseWeight="-50"
Flags="1"
Language=""
MinLength="4"
RegExp=""
|
作成したシステム・チャレンジ質問ごとに、新しい行が追加されます。
ユーザー登録データ(ENROLLMENTINFORMATION、USERQUESTIONS、およびUSER表)
次の例は、ユーザーの登録中にデータベースに書き込まれるデータを示しています。
1. ユーザーは、次のURLで登録ページにアクセスします。
http://<hostname>:<port>/vgoselfservicereset/enrollmentclient/ enrolluser.aspx
Password Resetの登録ページが表示されます。
2. ユーザーが「Start」をクリックします。次のデータ(XML文字列形式)を含む新しい行が、USER表に書き込まれます。
|
USER.USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
USER.ENROLLED
|
FALSE
|
|
USER.USERINFORMATION
|
UserName="SEDEMO\jraymond"
strSid="S-1-5-21-1607104245-2398925301-1456127008-1137"
bEnrolled="false"
LockOutTime="0001-01-01T00:00:00-05:00"
LockoutCount="0"
Email=""
EnrollmentByPassCount="0"
<Language />
<ConnectorUsername />
|
3. ユーザーが必要なチャレンジ質問に回答すると、確認画面が表示され、次のデータを含む行がENROLLMENTINFORMATION表に追加されます。
|
USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
ENROLLMENTINFORMATION
|
StartTime="2008-11-21T15:05:02.8386162-05:00"
EndTime="0001-01-01T00:00:00-05:00"
Weight="0"
Activity="1"
State="2"
UserNameSelect="SEDEMO\jraymond"
GUID="d9d3c610-dd78-4292-924c-f21f9c9b9217"
|
|
CREATETIME
|
21- NOV-08
|
4. ユーザーが「Next」をクリックしてオプションのチャレンジ質問への回答を開始すると、次のメッセージがログに記録されます。
ユーザーがオプションの質問(この例では6)に回答すると、「Enrollment Finished」画面が表示されます。
5. ユーザーが「Close」をクリックすると、次のイベントが発生します。
a. メッセージがログに記録されます。
b. 回答された質問ごとに、USERQUESTIONS表に次のデータを含む行が追加されます。
|
USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
QUID
|
53412afd-af16-4a1a-9ddb-ecdf5414ff51
|
|
USERQUESTIONS
|
QuestionAnswer="BoNGMYmBe5KUp5Zqzu5QtOGylJl6QJtnupKIkQ8Tx SnQGIU0" SystemQuestion="true"
SystemQUID="99a96ea2-671c-4db6-941c-058a6986123b"
QUID="53412afd-af16-4a1a-9ddb-ecdf5414ff51"
|
c. 次のデータが、USER表に書き込まれます。
|
USER.USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
USER.ENROLLED
|
TRUE
|
|
USER.USERINFORMATION
|
UserName="SEDEMO\jraymond"
Sid="S-1-5-21-1607104245-2398925301-1456127008-1137" Enrolled="true"
LockOutTime="0001-01-01T00:00:00-05:00"
LockoutCount="0"
Email=""
EnrollmentByPassCount="0"
Language />
ConnectorUsername />
|
d. 次のデータが、ENROLLMENTINFORMATION表に書き込まれます。
|
USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
ENROLLMENTINFORMATION
|
StartTime="2008-11-21T15:05:02.8386162-05:00"
EndTime="2008-11-21T15:16:23.1736578-05:00"
Weight="200"
Activity="1"
State="6"
UserNameSelect="SEDEMO\jraymond"
GUID="71c2739f-b192-42b3-a326-271bec9323da"
|
|
CREATETIME
|
21- NOV-08
|
Password Resetデータ(RESETINFORMATION表)
次の例は、パスワード・リセット中にデータベースに書き込まれるデータを示しています。
1. ユーザーは、次のURLでパスワード・リセット・ページにアクセスします。
http://<hostname>:<port>/vgoselfservicereset/resetclient/default.aspx
Password Resetのログオン・ページが表示されます。
2. ユーザーが必要な情報を入力してから「OK」ボタンを押すまでに長い時間が経過した場合は、「Session is invalid」画面が表示され、ユーザーが登録セッションをリセットできるリンクが示されます。この時点で、次のメッセージがログに記録されます。
3. ユーザーがリセット手順を再試行し、パスワード・リセット・ページに到達すると、次のデータがRESETINFORMATION表に書き込まれます。
|
USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
RESETINFORMATION
|
StartTime="2008-11-21T15:59:38.436503-05:00"
EndTime="2008-11-21T16:00:40.5771384-05:00"
Weight="0"
State="2"
HostAddress="192.168.5.101"
|
|
CREATETIME
|
21-NOV-08
|
この時点で、次のメッセージがログに記録されます。
4. ユーザーが正常にパスワードをリセットすると、Password Resetにパスワード・リセットの成功を確認するメッセージが表示され、次のデータがRESETINFORMATION表に書き込まれます。
|
USERSID
|
S-1-5-21-1607104245-2398925301-1456127008-1137
|
|
RESETINFORMATION
|
StartTime="2008-11-21T16:10:43.7618874-05:00" EndTime="0001-01-01T00:00:00-05:00"
Weight="100"
State="6"
HostAddress="192.168.5.101"
|
|
CREATETIME
|
21-NOV-08
|
この時点で、次のメッセージがログに記録されます。
ログ・メッセージ・データ(SYSLOG)
有効にすると、Password Resetのロギング機能によって次のデータがSYSLOGに書き込まれます。
・ Date
・ Time
・ Priority
・ Host name
・ Message
次に、Password Resetが通常の操作中に生成する標準のログ・メッセージの例を示します。
ユーザーの登録に関するログ・メッセージの例
Nov 21 16:21:46 orcl v-GO SSPR: User 'SEDEMO\lchristine' started an enrollment session.
Nov 21 16:22:42 orcl v-GO SSPR: User 'SEDEMO\lchristine' cancelled the enrollment session.
Nov 21 15:16:23 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully completed enrollment.
Password Resetに関するログ・メッセージの例
Nov 21 16:10:43 orcl v-GO SSPR: User 'SEDEMO\jraymond' started a reset session.
Nov 24 11:21:51 orcl v-GO SSPR: User 'SEDEMO\jraymond' cancelled the reset session.
Nov 21 16:11:17 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully reset his/her password.
Nov 24 09:43:08 orcl v-GO SSPR: User 'SEDEMO\jraymond' failed the reset quiz.
Nov 24 10:00:15 orcl v-GO SSPR: User 'SEDEMO\jraymond' has been locked out!
Nov 21 16:06:20 orcl v-GO SSPR: User 'SEDEMO\jraymond' timed out the reset session.
Nov 24 10:13:28 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully unlocked his/her account.
ロギングの詳細は、このドキュメントのパスワード・リセットに関する項を参照してください。
スキーマの図
この図は、スキーマを拡張する際にPassword Resetが追加するオブジェクト・クラスを示しています。
・ 各ボックスは、クラスを表しています。
・ ボックスの上部には、クラス名が表示されています。
・ ボックスの下部には、クラスが持つことができる属性が表示されています。
各リンクは、クラスに含むことができる子クラスを表しています。
権限およびセキュリティ
オブジェクト・クラス
passlogix-ssruser
このクラスは、登録、リセットおよび質問応答オブジェクトを含み、Password Resetユーザーに関するすべての情報を保持するコンテナとして機能します。このクラスのインスタンスは、OU=SSPR,OU=Usersの下の各ユーザーに対して作成されます。このインスタンス名が、ユーザーのSIDになります。
|
属性名
|
構文
|
フラグ
|
|
passlogix-ssrattribute
|
大/小文字が区別されない文字列
|
Single Valued
|
|
passlogix-ssruserenrolled
|
キャストを区別しない文字列
|
単一設定値
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrenrollmentfolder
このクラスは、passlogix-ssrenrollmentinformationオブジェクトを含み、passlogixssruserオブジェクトの子としてのみ存在できます。
|
属性名
|
構文
|
フラグ
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrenrollmentinformation
このクラスは、登録イベントに関する情報を格納し、通常はpasslogix-ssrenrollmentfolderの子として存在します。インスタンス名は、ランダムに生成されたGUIDになります。
|
属性名
|
構文
|
フラグ
|
|
passlogix-ssrattribute
|
大/小文字が区別されない文字列
|
Single Valued
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssruserquestionfolder
このクラスは、passlogix-ssrquestionsオブジェクトを含み、passlogix-ssruserオブジェクトの子としてのみ存在できます。
|
属性名
|
構文
|
フラグ
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrquestions
このクラスは、質問または応答に関する情報を格納し、通常、質問に対するユーザーの回答を表す場合はpasslogixssruserquestionfolderの子として存在します。システム質問を表す場合は、OU=SSPR,OU=SystemQuestionsの下に存在します。インスタンス名は、ランダムに生成されたGUIDになります。
|
属性名
|
構文
|
フラグ
|
|
passlogix-ssrattribute
|
大/小文字が区別されない文字列
|
Single Valued
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrresetfolder
このクラスは、passlogix-ssrresetinfoオブジェクトを含み、passlogix-ssruserオブジェクトの子としてのみ存在できます。
|
属性名
|
構文
|
フラグ
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrresetinfo
このクラスは、リセット・イベントに関する情報を格納し、通常は、passlogix-ssrresetfolderの子として存在します。インスタンス名は、ランダムに生成されたGUIDになります。
|
属性名
|
構文
|
フラグ
|
|
passlogix-ssrattribute
|
大/小文字が区別されない文字列
|
Single Valued
|
|
その他のオプションの属性
|
cn、dn
|
passlogix-ssrsystemparameters
このクラスは、Password Resetシステムの設定情報を格納します。通常、このクラスのインスタンスは、OU=SSPRの下に作成され、CN=SystemParametersという名前が付けられます。
|
属性名
|
構文
|
フラグ
|
|
passlogix-ssrattribute
|
大/小文字が区別されない文字列
|
Single Valued
|
|
その他のオプションの属性
|
cn、dn
|
属性
passlogix-ssrattribute
この属性は、Password Resetオブジェクトのデータ・ストレージを提供します。通常、このデータはXML形式の文字列です。
passlogix-ssruserenrolled
この属性は、ユーザーが現在Password Resetに登録されているかどうかを示します。TRUEまたはFALSEのいずれかが設定されます。
Oracle Databaseでのデータ記憶域のためのPassword Resetの構成
Password Reset用にOracle Databaseインスタンスを準備する場合は、次のガイドラインに従います。
・ 単純なデータベース・インスタンスに専用の単純な表領域を、初期サイズが200MBで、自動拡張を有効にして作成します。
・ 専用のアプリケーション・ユーザーを作成します(このユーザーの唯一の役割が、Password Resetがデータベースに接続してデータを格納するのを許可することです)。Password Resetとデータベースのインタフェースには、SYSTEMユーザーを使用しないてください。
|
|
Oracle Databaseの構成の詳細は、このドキュメントでは説明しません。Password Resetを既存のOracle Databaseインフラストラクチャに統合する方法を決定する場合に、組織のDBAチームと連携することを強くお薦めします。
|
ステップ1: Password Resetデータ用のデータベース・スキーマの構成
Password Resetのデータベース・スキーマを構成するには、次の手順を実行します。
1. Password Reset DDLスクリプト・ファイルを検索します。
%PROGRAM FILES%\Passlogix\v-GO SSPR\WebServices\OracleTables.txt
2. OracleTables.txtスクリプト内のすべてのSYSTEMユーザーを、Oracle Databaseインスタンスの準備の際に作成した専用のPassword Resetアプリケーション・ユーザーに置換します。
3. Oracle SQL*Plusクライアントを起動し、Password Resetデータベース・インスタンスにログオンします。
4. OracleTables.txtスクリプトを実行して、必要なデータ構造を作成します。
@ "<ESSO-PR_server_install_path>\WebServices\OracleTables.txt"
ステップ2: データベースにデータを格納するためのPassword Resetの構成
1. Webブラウザで次のURLを指定して、Oracle Enterprise Single Sign-On Administrative Consoleにログインします。
http://<hostname>:<port>/vGoSelfServiceReset/ManagementClient/storage.aspx
|
|
SSL接続を受け入れるようにPassword Resetを構成してある場合は、前述のURLのhttpを、httpsに置き換えます。
|
2. 左側のペインで、「Storage」をクリックします。
3. 「Storage」ページで、次の手順を実行します。
a. 「Storage Type」ドロップダウン・リストから、「Oracle Database」を選択します。
b. 「Connection String」フィールドで、ターゲット・データベース・インスタンスの接続文字列を入力し、「Add」をクリックします。構文は次のとおりです(1行で入力します)。
Provider=OraOLEDB.Oracle;Data Source=<datasource>;User Id=<user_id>;Password=<password>
説明:
・ <datasource>は、ターゲット・インスタンスのデータ・ソースの名前です。
・ <user_id>は、Password Reset用にデータベース・インスタンスで作成した専用のアプリケーション・ユーザー・アカウントのIDです。
・ <password>は、前に選択したユーザーのパスワードです。
c. 「Database Timeout」フィールドで、目的の値を秒単位で入力します。デフォルトとして60秒が推奨されています。
d. 「Submit」をクリックします。
Password Resetのデータを、選択したデータベース・インスタンスに格納するための構成が完了しました。Password Resetがデータベースに格納するデータの詳細、例、およびこのデータの体系については、「Password Resetのデータ構造の理解」を参照してください。
クライアント・レジストリの設定
HKLM\Software\Passlogix\SSPR以下
|
キー
|
値の名前
|
データ型
|
データ [URLRoot] : http://[host]/vgoselfservicereset
|
|
WindowsInterface
|
EnrollURL
|
string (REG_SZ)
|
登録サービスのデフォルト・ページのURL:
[URLroot]/enrollmentclient/enrolluser.aspx
|
|
|
ResetURL
|
string (REG_SZ)
|
リセット・サービスのデフォルト・ページのURL:
[URLroot]/resetclient/default.aspx
|
|
|
StatusURL
|
string (REG_SZ)
|
ステータス確認ページのURL (リセット・クライアントにリセット・サービスが使用可能であることを通知):
[URLroot]/resetclient/checkstatus.aspx
|
|
|
CheckEnrollURL
|
string (REG_SZ)
|
登録確認サービスのURL (ユーザーがサービスに登録されているかどうかを確認):
[URLroot]/resetclient/checkenrollment.aspx
|
|
|
AutomaticEnroll
|
dword (REG_DWORD)
|
0 (ゼロ)以外の値に設定すると、次回ログオン時にユーザーを登録するための登録オプションが提供されます。0 (デフォルト)に設定すると、ログオン時に登録は提供されません。
|
|
|
ForceEnrollment
|
dword (REG_DWORD)
|
0 (ゼロ)以外の値に設定すると、未登録のユーザーは次回ログオン時に登録を要求されます。0 (デフォルト)に設定すると、ログオン時に登録は要求されません。
|
|
|
CheckForceEnrollment
|
string (REG_SZ)
|
強制登録確認サービスのURL (ユーザーが登録を延期できる回数を確認):
[URLroot]/resetclient/checkforceenrollment.aspx
|
|
|
WindowHeight
|
dword (REG_DWORD)
|
Password Resetのブラウザ・ウィンドウの高さを調整します。
|
|
|
WindowWidth
|
dword (REG_DWORD)
|
Password Resetのブラウザ・ウィンドウの幅を調整します。
|
|
|
Bitmap
|
string (REG_SZ)
|
このキーをレジストリに追加すると、標準のGINAビットマップがカスタム・ビットマップに置換されます。カスタム・ビットマップ・ファイルのフルパスを指定します。詳細は、Oracleオンライン・ドキュメント・センターを参照してください(Windows XP以下)。
|
|
WindowsInterface\xx (xxは、2文字の言語コード*)
|
LinkText
|
string (REG_SZ)
|
クリックしてパスワードをリセットするようにユーザーに指示するテキストを入力します(Windows Server 2008およびWindows 7のみ)。
|
|
|
WindowTitle
|
string (REG_SZ)
|
登録およびリセット・インタフェースのウィンドウ・タイトルの適切なテキストを入力します。
|
|
WindowsInterface\xx \GinaWindows
|
WindowTitle1… WindowTitleX
|
string (REG_SZ)
|
Password Resetバナーを表示するウィンドウ・タイトルを設定します(Windows XP)。
|
WindowsInterface\xxの言語コード
|
Language
|
コード
|
Language
|
コード
|
|
英語(デフォルト)
|
en-US
|
ノルウェー語(no)
|
no
|
|
ポルトガル語(ブラジル) (pt-BR)
|
pt-BR
|
ポーランド語(pl-PL)
|
pl-PL
|
|
チェコ語(cs-CZ)
|
cs-CZ
|
ポルトガル語(pt)
|
pt
|
|
デンマーク語(da)
|
da
|
ルーマニア語(ro)
|
ro
|
|
オランダ語(nl-NL)
|
nl-NL
|
ロシア語(ru)
|
ru
|
|
フィンランド語(fi-FI)
|
fi-FI
|
簡体字中国語(zh-CHS)
|
zh-CHS
|
|
フランス語(fr-FR)
|
fr-FR
|
スロバキア語(sk)
|
sk
|
|
ドイツ語(de-DE)
|
de-DE
|
スペイン語(es-ES)
|
es-ES
|
|
ギリシャ語(el)
|
el
|
スウェーデン語(sv)
|
sv
|
|
ハンガリー語(hu)
|
hu
|
タイ語(th)
|
th
|
|
イタリア語(it-IT)
|
it-IT
|
繁体字中国語(zh-CHT)
|
zh-CHT
|
|
日本語(jp-JP)
|
ja-JP
|
トルコ語(tr)
|
tr
|
|
韓国語(ko-KR)
|
ko-KR
|
|
|
サーバー・レジストリの設定
4HKLM\Software\Passlogix\SSPR以下
|
キー
|
値の名前
|
データ型
|
データ
|
|
SSPRService
|
CacheEnabled
|
dword REG_DWORD
|
サーバーでユーザー情報をキャッシュできるようにする場合は、1 (デフォルト)を設定します。ユーザー情報のキャッシュを無効にする場合は、0を設定します。
この設定は、特に、複数のWebサーバーを持つ構成に対処するためのものです。このような構成の場合、ユーザー情報が不正確に同期されないようにするには、0値を使用します。
|
|
SSPRService
|
Reset_ShowIntroduction
|
dword REG_DWORD
|
1に設定すると、リセット・プロンプトが表示されます。0 (デフォルト)に設定すると、リセット・プロンプトが抑制されます。
|
|
SSPRService
|
Reset_CustomizedErrorMsg
|
dword REG_DWORD
|
1に設定すると、カスタマイズ可能なリセット・エラー・メッセージがアクティブ化されます。0 (デフォルト)に設定すると、組込みのリセット・エラー・メッセージが使用されます。
|
|
SSPRService
|
SessionTimeoutMessage
|
dword REG_DWORD
|
1に設定すると、指定した期間内にセッションがタイムアウトすることをユーザーに通知するメッセージがアクティブ化されます。このメッセージを表示しない場合、0 (デフォルト)に設定します。
|
4HKLM\Software\Passlogix\SSPR\Storage\Extensions\以下
|
キー
|
値の名前
|
データ型
|
データ
|
|
|
ADAM
|
Root
|
string (REG_SZ)
|
AD LDS (ADAM)パーティション・ルート
|
|
|
|
Classname
|
string (REG_SZ)
|
AD LDS (ADAM)
|
4HKLM\Software\Passlogix\SSPR\Storage\Extensions\ADAM\以下
|
キー
|
値の名前
|
データ型
|
データ
|
|
|
Servers
|
Server1
|
string (REG_SZ)
|
(AD LDS (ADAM)インスタンスの)サーバー:ポート
|
|
|
|
|
|
4HKLM\Software\Passlogix\SSPR\Storage\Extensions\以下
|
キー
|
値の名前
|
データ型
|
データ
|
|
|
AD
|
Root
|
string (REG_SZ)
|
ADルート
|
|
|
|
Classname
|
string (REG_SZ)
|
AD
|
4HKLM\Software\Passlogix\SSPR\Storage\Extensions\AD\以下
|
キー
|
値の名前
|
データ型
|
データ
|
|
|
Servers
|
Server1
|
string (REG_SZ)
|
サーバー:ポート
|
|
|
|
|
|
レポーティング・イベント定義表
この項では、レポーティング・イベント定義表とその値について説明します。フィールド移入は、イベントが生成された製品およびコンテキストに依存するため、イベントで常にすべてのフィールドが移入されるとはかぎりません。通常、すべてのフィールドはテキスト形式ですが、タイムスタンプとOracle固有で使用するフィールドは例外です。いくつかのエントリには固有の列挙値があり、これらの値は説明の下に示されています(該当する場合)。
次に、イベント・ログ表を作成するために使用するSQL Serverスクリプトを示します。
定義
GUID
Globally Unique Identifier。生成されたすべてのイベントには、そのイベントに固有の識別子が付きます。
|
|
通常、このフィールドはレポーティングの用途には不要ですが、アカウント作成の用途で役立つ場合があります。
|
ProductName
イベントを生成したOracle Enterprise Single Sign-On Suite製品の名前。
現在の値:
|
・ SSO_Server
・ SSO_Client
・ SAM_Server
・ SAM_Client
・ PM_Server
・ PM_Client
・ SSPR
・ AM
|
・ SM
・ UAM
・ ODE
・ NotificationService
・ ReportingService
・ DC_Client
・ OPAM_Client
|
ProductVersion
イベントを生成したOracle Enterprise Single Sign-On Suite製品のバージョン。
HostName
イベントを生成したホストまたはマシンの名前。
LogonMethod
特定のイベントに適用される場合に使用されたログオン方法。
現在の値:
・ WinAuth
・ MsAuth
・ LDAPv1
・ LDAPv2
・ MultiAuth
CredentialType
資格証明のタイプを示します。
現在の値:
・ Standard
・ Shared
Operation
特定のOracle Enterprise Single Sign-On Suite製品によって生成されたイベントの特徴を定義します。
現在の値:
|
・ Login
・ CredentialChange_Username
・ CredentialChange_Password
・ CredentialChange_Third
・ CredentialChange_Forth
・ Pause
・ Shutdown_Manual
・ Shutdown_Programmatic
・ Resume
・ FirstTimeUse
・ CredentialAdded
・ CredentialDeleted
・ CredentialAddAborted
・ Auth_Failure
・ Auth_Success
・ Auth_Enrollment
・ Auth_Unenrollment
・ Start
・ SM_AuthenticatorLogon
・ SM_SessionStart
・ SM_SessionLock
・ SM_SessionUnlock
・ SM_SessionEnd
・ SM_SessionExpiration
|
・ SM_MachineShutdown
・ SM_MachineRestart
・ SM_ManagerExit
・ SM_SpecialActionExec
・ SM_RunListExecNet
・ SM_RunListExecScript
・ SM_TerminateListExec
・ Enrollment
・ PasswordReset_Success
・ PasswordReset_Fail
・ Re-enrollment
・ PM_CredentialAdded
・ PM_CredentialDeleted
・ PM_CredentialModified
・ DC_DelegationAccepted
・ DC_DelegationRevoked
・ DC_DelegationModified
・ DC_DelegationDeclined
・ DC_DelegationEndedTimeExceeded
・ DC_DelegationEndedManual
・ OPAM_CheckOut
・ OPAM_CheckIn_User
・ OPAM_CheckIn_External
・ OPAM_CheckIn_Expire
|
SSOUserId
これは、Logon ManagerがActive DirectoryやLDAPなどの企業リポジトリと同期をとるために使用するユーザーIDです。生成されたイベントが別のOracle Enterprise Single Sign-On Suite製品または使用されていないリポジトリからのものである場合、このフィールドはユーザーのWindowsログオン名(<domain>\<user>など)になります。
WindowsUserName
これは、イベントを生成したシステムのWindowsログオン名(<domain>\<user>など)です。SSOUserIdと同じ場合と異なる場合があります。
ApplicationName
これは、イベントの生成対象だったアプリケーションの名前(OutlookやAIMへのLogon Managerログオンなど)です。
ApplicationReference
使用された資格証明へのアプリケーション・テンプレートの参照(該当する場合)。
ApplicationUserId
この資格証明が属するアプリケーションのユーザーID。
ApplicationThirdField
使用された資格証明に追加情報がある場合、このフィールドには3番目のフィールドが移入されます。
|
|
テンプレートがマスクされるように定義されている場合、機密情報を公開しないために、このフィールドには<masked>が含まれます。
|
ApplicationFourthField
使用された資格証明に追加情報がある場合、このフィールドには4番目のフィールドが移入されます。
|
|
テンプレートがマスクされるように定義されている場合、機密情報を公開しないために、このフィールドには<masked>が含まれます。
|
SAMAccountName
このイベントが共有アカウントから生成された場合、その共有アカウントの名前が含まれます。
Comment
このイベントに関する追加(オプション)の情報。
EventtimeClient
これは、ローカル・システムでイベントが作成されたときの時間(GMT)書式です。
|
|
この時間はローカル・システムに依存します(GMT書式で格納されている場合、ローカル・システムが正しくなければ、それが反映され、このフィールドに格納されます)。
|
EventtimeServer
これは、イベントがデータベースに格納された時間(GMT)書式です。
|
|
このフィールドは、データベースが格納されているシステムに依存します。イベントが格納されると、データベース自体でこのタイムスタンプが作成されます。
|
EventtimeEnrollment
このフィールドは、ユーザーの暗号鍵が生成または更新された時間(GMT書式)です。暗号鍵は、ユーザーがオーセンティケータに登録されたとき、またその登録を変更したときに資格証明を暗号化するために使用します。このフィールドは、Auth_EnrollmentおよびAuth_Unenrollmentイベントに対してのみ設定されます。
HashType
Oracle内部使用専用です。
HashValue
Oracle内部使用専用です。
HostFingerprint
Oracle内部使用専用です。
SSL接続の証明書の取得
SSL接続のためにアプリケーションを構成する前に、信頼できる認証局からX.509証明書を取得する必要があります。この信頼できるCAを、信頼できるルートCAのリストにインストールする必要があります。証明書は、現在の日付において有効である必要があり、そのサブジェクトは、様々なアプリケーション・インスタンスが、対応するサーバー・インスタンスへの接続時に使用するネットワーク名(ホスト名またはホスト名とドメイン接尾辞を含む完全修飾URL)と正確に一致している必要があります。
証明書のインストールとSSLの設定の詳細は、Microsoft Webサイトの次の記事を参照してください。
・ "How to: Obtain an X.509 Certificate” http://msdn2.microsoft.com/en-us/library/ms819929.aspx
・ “How to: Set Up SSL on a Web Server” http://msdn2.microsoft.com/en-us/library/aa302411.aspx
Microsoft証明書サービスを使用してX.509証明書を取得する場合、サーバー認証証明書を選択してください。また、「キーのオプション」セクションで、「エクスポート可能なキーとしてマークする」および「ローカル コンピュータ ストアを使用する」オプションを選択します。
第VII部 トラブルシューティング
インストール
オーセンティケータ
シンクロナイザ拡張
アンインストール
エージェントのパフォーマンス
アプリケーションのレスポンス
認証
初期認証
再認証
アプリケーションの構成
すべてのアプリケーション
Windowsアプリケーション
Webアプリケーション
ホスト・アプリケーション
イベント・ロギング
Windowsイベント・ビューア
資格証明共有グループ
シンクロナイザ拡張
ディレクトリ拡張
ファイル・システム・サーバー
ローミング・プロファイル拡張
インストール
オーセンティケータ
オーセンティケータを選択しても、インストールされません。
・ デフォルトでは、インストーラはシステムで機能しないオーセンティケータをインストールしません。たとえば、Entrust Entelligenceクライアントがインストールされていない場合、Entrust PKI用のオーセンティケータはインストールされません(Entrust EntelligenceはAuthentication Managerでのみ使用できます)。
シンクロナイザ拡張
Microsoft Active Directory拡張を選択しても、インストールされません。
・ デフォルトでは、インストーラはシステムで機能しないシンクロナイザ拡張をインストールしません。たとえば、Microsoft Active Directoryクライアントがインストールされていない場合、Microsoft Active Directory Server用のシンクロナイザ拡張はインストールされません。
アンインストール
アンインストール後、ユーザー資格証明が残ります。
・ 標準のアンインストールでは、現在のユーザーの資格証明のみを削除できます。単純なバッチ・ファイルで、他の資格証明の削除を処理できます。たとえば、Windows XPでは次のようになります。
CD /D %UsersProfile%
CD .
/D %Z in (*.*)では、Del /F/S/Q "%Z\Application Data\SSO"を実行します。
・ その他のユーザーの場合は、手動でレジストリ・エントリを削除する必要があります。これは、RegEditまたはRegEdit32(RegEdt32.exe)で行うか、次の*.regファイルを各ユーザーに送信して実行できます。
Windows Registry Editor Version 5.00
HKey_Current_User\Software\Passlogix]
エージェントのパフォーマンス
アプリケーションのレスポンス
エージェントの実行中は、エージェントの応答速度が遅くなるか、アプリケーションの速度が遅くなるか、アプリケーション内の特定の機能の処理が遅くなります。
・ 一部のアンチウィルス・ソフトウェア・プログラムでは、エージェント・モジュールが過度にチェックされます。この問題を解決するには、ssoshell.exeまたは%ProgramFiles%\Passlogix\v-GO SSOディレクトリ・ツリー(あるいはその両方)のチェックを無効にします。
・ 一部のアンチウィルス・ソフトウェア・プログラムでは、*.mdbファイルが過度にチェックされます。エージェントは、ユーザー資格証明を*.mdbファイルに格納します。この問題を解決するには、*.mdbファイル、%UserName% aml.mdbファイル、または%AppData%\Passlogixディレクトリのファイル(あるいはそのすべて)のチェックを無効にします。
認証
初期認証
ユーザーは異なるドメイン/ワークグループ・アカウントでコンピュータにログオンしますが、同じ資格証明が表示されます。
・ 問題は、ローカル・コンピュータのWindowsアカウントが、ドメイン/ワークグループ・アカウントではなく、ユーザーのレジストリ・ハイブ(HKCU)を提供することです。解決策として、CleanupOnShutdown機能を使用することや、各ドメイン/ワークグループ・ログオンに異なるWindowsアカウントを使用することがあります。
再認証
ユーザーが再認証を求められません。
・ Extensions\AccessManager:AutoLoginを目的の値に設定していることを確認します。この値はミリ秒単位であり、値が900000の場合(クライアント側のインストールのデフォルト)は15分になります。
ユーザーが頻繁に再認証を受ける必要があります。
・ Extensions\AccessManager:AutoLoginを目的の値に設定していることを確認します。この値はミリ秒単位であり、値が900000の場合(クライアント側のインストールのデフォルト)は15分になります。
・ その他の再認証強制設定が適切に設定されていることを確認します。これらの設定には次のものがあります。
o オーバーライド設定: Extensions\AccessManager:ReauthOnReveal.
o アプリケーション構成設定: ForceReauth.
アプリケーションの構成
すべてのアプリケーション
アップグレード後は、エージェントは既存のログオン資格証明を認識しません。
エージェントのアップグレード後、ユーザーが以前に資格証明を提供したアプリケーションが機能しないという報告がユーザーから行われます。かわりに、構成されたログオンに資格証明が対応していないことを通知するメッセージ・ボックスが表示されます。アプリケーションは、Logon Managerにグレーのイタリック体のテキストで表示されます。
・ バルク追加リストを作成し、ユーザーのentlist.iniを更新します。また、Logon Managerでは、WindowsおよびWebアプリケーション用の事前構成されたログオンがエージェントのapplist.iniではなく、Oracle Enterprise Single Sign-On Administrative Consoleテンプレートで提供されることに注意してください。テンプレートを使用して、必要なアプリケーション・ログオンを作成し、次にバルク追加リストを作成して、ユーザーのentlist.iniを更新します。
資格証明を追加すると、事前定義されたアプリケーションのリストのアプリケーションが使用できなくなります。
・ エージェントを停止し、ssoshell.exeプロセスが実行中でないことを確認し、エージェントを再起動します。
ユーザー認証なしでエージェントを起動し、Logon Managerを開くことができます。
・ エージェントを停止し、実行中のssoshell.exeまたはSSObho.exeプロセスを強制終了し、エージェントを再起動します。
Windowsアプリケーション
事前定義のWindowsアプリケーション
エージェントがパスワード変更ウィンドウを認識しません。
エージェントがアプリケーションの構成済パスワード変更ダイアログに応答しません。
この問題は、パスワード変更フォームのウィンドウ・タイトルをメイン・ログオン・フォームのウィンドウ・タイトル一致リストに追加することで改善できます。
・ Oracle Enterprise Single Sign-On Administrative Consoleで、左側のペインでアプリケーションを選択し、「General」タブをクリックします。アプリケーションのパスワード変更フォームをダブルクリックし、フォーム構成ダイアログ・ボックスを開きます。フォームのウィンドウ・タイトルに注意し、「Cancel」をクリックします。アプリケーションのログオン・フォームをダブルクリックし、「Window Titles」で「Add」をクリックします。パスワード変更フォームのウィンドウ・タイトルを入力して「OK」をクリックした後、「OK」をクリックしてフォーム構成ダイアログ・ボックスを閉じます。
ログオンの重複または誤ったウィンドウ
エージェントがアプリケーションに2回応答するか、以前は表示されていなかったウィンドウまたは誤ったウィンドウに応答します。
・ 1つ以上の(追加の)一致セクションおよびフィールド・キーを使用して、より正確な一致基準を指定します。
・ アプリケーション構成の「Miscellaneous」タブ(参照)の「Ignore this Window Class」で、無視する必要があるウィンドウ・クラスを指定します。
エージェントが、いずれのWindowsアプリケーションにも応答しません。
・ エージェントを停止し、実行中のssoshell.exeまたはSSObho.exeプロセスを強制終了し、エージェントを再起動します。
エージェントが、特定のWindowsアプリケーションに応答しません。
・ 使用する一致基準を少なくします。
・ 数字のアプリケーション構成値が、16進数ではなく、10進数であることを確認します。
・ 文字列のアプリケーション構成値が、アプリケーション・ダイアログ・ボックス内の正確な文字列であることを確認します。
・ 複数のセクションを使用する場合は、1つのセクションでテストを行ってみます。
エージェントは資格証明を提供しますが、送信はしません。
・ アプリケーション構成の「Miscellaneous」タブで「Auto Submit」が設定され、特定の資格証明のセットで「AutoOK」が設定されていることを確認します。
SendKeysの問題
Webアプリケーション
|
|
Logon ManagerがActiveXベースのログオン・フォームに対して正確に応答するには、Webブラウザ・ウィンドウを対象としたテンプレートを使用して、これらのフォームをWindowsアプリケーションとして構成する必要があります。
Webテンプレートの適用手順の詳細は、Oracleのベスト・プラクティスに関するドキュメントを参照してください。
|
任意のWebアプリケーションへの応答
エージェントが特定のWebページを検出しない、または応答しません。
・ ページにパスワード・フィールド(パスワードのフィールド・タイプ)があることを確認します。パスワード・フィールドがない場合、エージェントはそのページを無視します。
・ SSObho.exeが実行していることを確認します。
・ Java、JavaScriptまたはActiveX(あるいはそのすべて)のサポートを無効にしてみます。
特定のWebページに対してエージェントの応答速度が遅くなります。
・ ページへのロードが終了していることを確認します。エージェントは、ページへのロードが完全に終了するまでそのページに応答しません。
・ イメージをオフにします。
・ Java、JavaScriptまたはActiveX(あるいはそのすべて)のサポートを無効にしてみます。
エージェントがロードしたWebアプリケーションに応答しません。
1. エージェントを起動し、タイトル・バーのボタンからエージェントをトリガーします。
2. Logon Managerを使用してログオンします。
3. ブラウザ・ページをリフレッシュします。
エージェントがLogon Managerを使用して選択したログオンに応答しません。
・ このようにWebアプリケーションに応答しないというエージェントの既知の問題があります。 この場合、エージェントは他のトリガーを介して応答します。
|
|
ブラウザが別のアプリケーションに組み込まれている場合、エージェントはそのブラウザがWindowsアプリケーションであるかのように応答することがあります。
|
SSObho.exeが実行されません。
エージェントがWebページを適切に認識しない場合は、SSObho.exeが実行中であることを確認します。実行中でない場合、エージェントはユーザーがTerminal Servicesセッション中であると認識することがあります。 この問題を修正するには、次のようにします。
1. エージェントを停止します。(Task ManagerでSSO*タスクが実行中でないことを確認します。)
2. エージェントをアンインストールします。
3. 次のファイルがユーザーのコンピュータにないことを確認します。
・ SSOwts.exe
・ SSOwts.exe
・ SSOwts.exe
4. レジストリのシステム・ハイブのRegEdit (HKEY_CURRENT_USERやHKEY_USERSのNOTなど)を使用して、SSO、vGOおよびPasslogixへの参照を検索します。すべての不適切な参照(特に次の参照)を削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Passlogixとその子
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04EB19CE-B3B3-11D2-8A09-006008C7059E}とその子
HKEY_CLASSES_ROOT\CLSID\{04EB19CE-B3B3-11D2-8A09-006008C7059E}とその子
HKEY_CLASSES_ROOT\AppID\SSO WTS.EXEとその子
HKEY_CLASSES_ROOT\AppID\{6B9E3EFF-C54A-472C-821B-6FC464B58235}とその子
HKEY_CLASSES_ROOT\SSObho.HelperObjectとその子
HKEY_CLASSES_ROOT\SSObho.HelperObject.1とその子
5. エージェントを再インストールします。
Webアプリケーションの再定義時
エージェントは資格証明を提供しますが、送信はしません。
・ 「Submit」フィールドがイメージ・タイプの場合は、プロトコルを含めてURLが正確であることを確認します。
・ 「Submit」フィールドが存在しない場合は追加します。
エージェントは、ページを送信するのではなく、別のページへのリンクまたはそれ以外のアクション(取消し/消去など)をトリガーします。
・ アプリケーション構成に「Submit」フィールドを追加します。
Webページで4つ以上のフィールドが使用されます(たとえば、3つのフィールドとしての社会保険番号およびパスワード)。
・ ログオンを2つ(以上)のログオンに分割します。次に、ユーザーは(ログオン・チューザで)パスワードがない資格証明を選択し(自動送信を無効にして)、パスワードがある資格証明を選択します。
事前定義されていないWebアプリケーション
エージェントは資格証明を提供しますが、送信はしません。
・ 資格証明を要求しているウィンドウにシステムのフォーカスを置き続けます。別のウィンドウに切り替えた場合、エージェントは資格証明を提供しますが、ページに送信の指示を出すことは行いません。
エージェントは、ページを送信するのではなく、別のページへのリンクまたはそれ以外のアクション(取消し/消去など)をトリガーします。
・ 資格証明の自動送信をオフにして、ページ送信を手動でトリガーします。
・ ページを事前定義し、「Submit」フィールドを指定します。
資格証明の追加時、URLではなくウィンドウ・タイトルが格納されます。
・ SSObho.exeが実行していることを確認します。(前述の説明を参照してください。)
ホスト・アプリケーション
任意のホスト・アプリケーションへの応答
エージェントが、いずれのホスト・アプリケーションにも応答しません。
・ エージェントを停止し、実行中のssoshell.exeまたはSSObho.exeプロセスを強制終了し、エージェントを再起動します。
・ ホスト・コンピュータでHLLAPIが正しく有効になっていることを確認します。
・ MFEnable=1であることを確認します。
・ 座標が左上隅を基準としていることを確認します。左上隅とは(1,1)(行1、列1)です。
エージェントが、いずれのTelnetアプリケーションにも応答しません。
・ ホスト・エミュレータで、HLLAPIまたはスクリプト言語によるTelnetがサポートされていることを確認します。注意: エージェントでは、HLLAPIによるTelnetは、ScanPak AvivaおよびNetManage Rumbaに対してのみサポートされています。
特定のホスト・アプリケーションへの応答
1つ以上の資格証明フィールドが挿入されていないか、一部のみ挿入されています。
・ 座標が左上隅を基準としていることを確認します。左上隅とは(1,1)(行1、列1)です。
・ アプリケーション構成座標が、資格証明が挿入される正確な場所と一致していることを確認します。通常、フィールド・プロンプトの後にスペースがあり(ユーザー名:スペースなど)、スペースの後に資格証明フィールドを挿入する必要があります。
・ フィールド間に特殊文字列が使用されている場合は、文字列が有効であること、および「Delay Field」が十分大きい値に設定されていることを確認します。
エージェントが特定のホスト・アプリケーションに応答しません。
・ 座標が左上隅を基準としていることを確認します。左上隅とは(1,1)(行1、列1)です。
・ 使用する一致基準を少なくします。
エージェントが特定のTelnetアプリケーションに応答しません。
・ すべてのフィールドの座標が(1,1)に設定されていることを確認します。
イベント・ロギング
すべての拡張
イベントが記録されません
・ フィルタが設定されていません。0xFFFFFFFFを設定(すべてのイベントを記録)し、エージェントを再起動してテストします。
・ エージェントは再試行設定(デフォルトは30分)に達していません。デフォルトから値を変更するには、Extensions\EventManager:RetryまたはExtensions\EventManager\%Extension%:Retryをより小さい値に設定します。イベント・ロギングが行われていることを確認するには、ユーザーの%UserName% AML.mdbファイルを開き、SSOSection列で、CacheItemで始まる名前を持つエントリ(CacheItem1など)を検索します。 これらの項目はイベントで、再試行時間に達するまでキャッシュされます。 キャッシュされたイベントは、再試行時に拡張に送信されます。
誤ったイベントが記録されます。
・ フィルタの設定が正しくありません。イベント・ロギング・フィルタを確認し、正確なビット順序およびバイナリから16進/10進への変換に注意します。
Windowsイベント・ビューア
資格証明がサーバーに到達しません。
・ サーバー名が正しく設定されていません。先頭に\\文字を使用しないでください。適切なNetBIOS名(TCP/IP名ではなく)を指定してください。
資格証明がサーバーに到達しません。
・ サーバー名が正しく設定されていません。先頭に\\文字を使用しないでください。適切なNetBIOS名(TCP/IP名ではなく)を指定してください。
サーバー上の資格証明が欠落しています。カテゴリおよびイベント・ラベルは数字のみで、次のような説明が表示されます。「ソース(Logon Manager)内のイベントID (###)の説明が見つかりません。
ローカル・コンピュータに、必要なレジストリ情報、またはリモート・コンピュータからのメッセージを表示するメッセージDLLファイルがない可能性があります。 次の情報はイベントの一部です。」
・ サーバーが正しく構成されていません。サーバーの構成方法については、「Windowsイベント・ロギングの拡張」を参照してください。
資格証明共有グループ
資格証明共有グループが機能しません。
・ Extensions\AccessManager:PWSEnable=1であることを確認します。
ドメインまたはLDAPグループのアプリケーション内でパスワードが変更されても、その変更については、オーセンティケータに通知されません。
・ AUI:ShareToAuth=1であることを確認します。
すべてのシンクロナイザ拡張
ディレクトリ拡張(すべてのディレクトリ・サポート)
ユーザー接続
SSL経由で接続できません。
・ ディレクトリ接続がSSLなしで機能することを確認します。
ユーザーがディレクトリにオブジェクトを作成できません。
・ ユーザーがディレクトリに接続していることを確認します。
・ UserPathsが有効な場所を指していることを確認します。
・ ユーザーの専用またはデフォルト・オブジェクトとしてのSSOlocatorオブジェクトが存在しません。デフォルト・オブジェクトをUserPathsが指す場所に置きます。うまく配置できた場合は、デフォルト・オブジェクトをツリーの上の方へ移動したり、ユーザー固有のオブジェクトをツリーに置くことができます。
管理オブジェクト
管理オブジェクト(vGOAdminOverride、vGOentlist、vGOftulist)を変更できません。
既存のオブジェクトは上書きできません。かわりに、古いオブジェクトを削除し、新しいオブジェクトをプッシュします。
ユーザー・オブジェクト
・ Microsoft Active Directory Server
・ Oracle Directory Server Enterprise Edition
・ Novell eDirectory
ファイル・システム・サーバー
ユーザー接続
ユーザーがディレクトリにオブジェクトを作成できません。
・ ユーザーがファイル・システム共有に(エクスプローラなどで)直接接続できることを確認します。
OpenLDAPの手動スキーマ拡張エラー
「Connect to Repository」ダイアログ・ボックスで、「OpenLDAP Directory Server」が「Repository Type」として選択され、Extend Schema Statusステータス・エラーが表示された場合は、スキーマを手動で拡張する必要があります。
表示されるエラー・メッセージは、次のとおりです。
|
============= ERROR =============
Automated schema extension is not supported by this server.Use the file located at "C:\Program Files\Passlogix\v-GO SSO Console\DirectorySchema\vgo\OLDAP\sso.schema" to extend the schema manually.
Extend Schema ABORTED!
|
このエラーが表示された場合、手動でスキーマを拡張するために、次の手順を実行します。
1. sso.schemaファイルをOpenLDAPサーバーにコピーします。sso.schemaファイルは次の場所に置くことができます。
C:\Program Files\Passlogix\v-GO SSO Console\DirectorySchema\vgo\OLDAP\sso.schema
2. sso.schemaファイルを次のディレクトリ(またはOpenLDAP構成のその他のスキーマ・ディレクトリ)に置きます。
/usr/local/etc/openldap/schema
3. 新しいスキーマ・ファイルを含むようにOpenLDAP構成ファイルを変更する必要があります。ファイルを開き、次の行を追加します。
include <path>/sso.schema
ここで、<path>は前の手順で指定したパスです。
|
|
UNIXマシンでは、このファイルをslapd.confと呼びます。
|
