この章では、Oracle Entitlements Serverの使用を開始する方法について、そのグラフィカル・インタフェースの使用と移動方法についての情報を含めて説明します。この章には次の項目があります。
Oracle Entitlements Serverの使用を開始する前に、次のタスクが実行されている必要があります。これには、製品とそのコンポーネント(たとえばリモートのセキュリティ・モジュール)のインストール、該当する場合には、高可用性およびSecure Sockets Layer (SSL)などの機能の構成が含まれます。これらのタスクを完了したら、3.2項「グラフィック・インタフェースについて」を開始できます。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、Oracle Entitlements Serverをインストールおよび構成します。
このリリースでは、Oracle Entitlements Serverにより管理されるポリシー・ストアは、リレーショナル・データベース(推奨)またはLDAPベース・ディレクトリのどちらでもかまいません。
Oracle Entitlements Serverと関連付けられるアイデンティティ・ストアはLDAPベース・ディレクトリである必要があります。
インストール後、Oracle Entitlements Serverアイデンティティ・ストアはWebLogic Serverの組込みLDAPディレクトリに関連付けられます。この組込みLDAPディレクトリは開発目的には適していますが、本番ではサポートされるLDAPディレクトリを使用する必要があります。次の手順で、デフォルトのアイデンティティ・ストアの設定を再構成します。LDAP認証プロバイダの構成のより詳細な情報は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』に記載されています。
WebLogic Serverコンソールを起動します。
「セキュリティ・レルム」をクリックします。
myrealmの設定をクリックします。
「プロバイダ」タブをクリックします。
図3-1に表示されているように「認証」タブをクリックします。
「新規」ボタンをクリックして、新しいプロバイダを作成します。
名前を入力し、LDAPベース・ディレクトリのタイプを選択します。
たとえば、OracleInternetDirectoryAuthenticatorです。
LDAPベース・ディレクトリのプロバイダ特有の属性を構成します。
これには、ホスト名とポート、資格証明、グループ検索ベース、ユーザー検索ベースなどが含まれます。
プロバイダ情報を保存します。
LDAPベース・ディレクトリが最初にくるようにプロバイダの順番を変更します。
DefaultAuthenticatorおよびDefaultIdentityAsserterが続きます。
新しいプロバイダ名をクリックして構成します。
構成タブをクリックします。
「共通」タブをクリックします。
図3-2に表示されているように、「制御フラグ」をSUFFICIENTに設定し、「保存」をクリックします。
「プロバイダ固有」タブをクリックします。
アイデンティティ・ストアのLDAP構成情報を入力し、「保存」をクリックします。
「プロバイダ」タブに戻ります。
DefaultAuthenticatorをクリックしてその構成を変更します。
図3-3に表示されているように、「制御フラグ」をSUFFICIENTに設定し、「保存」をクリックします。
図3-3 WebLogic ServerコンソールのDefaultAuthentciatorのタブ
WebLogic Serverを再起動します。
Oracle Entitlements Serverの高可用性の構成の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。
ユーザーの認証に関する詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
注意: Oracle Entitlements Serverはユーザーの認証に関わりません。これは通常WebLogic Serverのセキュリティ・レルム構成の一部として行われます。 |
Oracle Entitlements Serverがポリシー・ストア、アイデンティティ・ストアおよびデータベースを使用して確立する接続の一方向SSLの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。ブラウザを使用した Oracle Entitlements Serverへのアクセスも、一方向SSLを使用して保護できます。これらの設定は、Oracle WebLogic Serverで実行されている他のアプリケーションの設定とほぼ同じです。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。
システム要件に関するドキュメントには、ハードウェア要件およびソフトウェア要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなどの情報が記載されています。
http://www.oracle.com/technology/software/products/ias/files/fusion_requirements.htm
動作保証のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
いずれのドキュメントもOracle Technology Network(OTN)から入手できます。
Oracle Authorization Policy ManagerはOracle Entitlements Serverのサブ・コンポーネントで、管理者向けのグラフィカル・コンソールです。これはポリシーおよび関連するポリシー・オブジェクトの管理用の、ブラウザ・ベースのグラフィカル・インタフェースです。次の各項には、認可ポリシー・マネージャの管理コンソールについて理解するための情報が含まれています。
Oracle Entitlements Server管理コンソールへのログインやWebLogic Scripting Tool (WLST)などの管理コマンドライン・ツールの使用は、適切な権限を持ったユーザーにのみ許可されています。SystemAdmin
という名前のOracle Entitlements Serverのシステム・レベルの管理ロールがインストール中に作成され、WebLogic Server管理者ユーザー(weblogic
)にマップされます。パスワードはインストール中に設定されます。SystemAdminには、追加の管理ロールを作成する権利と管理権限の他への委任を含む、拡張権限があります。
注意: 最初にOracle Entitlements Server管理コンソールにログインするときには、SystemAdminはインストール中の資格証明セットを使用する必要があります。識別子とパスワードはアイデンティティ・ストアの管理ツールを使用して変更できます。 |
Oracle Entitlements Serverと環境を管理するために、異なるアクセス権を持つ別の管理ユーザーを作成できます。詳細は、9.6項「管理者ロールを使用したシステム管理者の管理」を参照してください。
Oracle Entitlements Serverの管理者とユーザー・アイデンティティはアイデンティティ・ストア(通常はLDAPディレクトリ・サーバー)に保存されます。アイデンティティ・ストアに定義されたユーザーと外部ロールは、認可ポリシー定義中は読取り専用です。Oracle Entitlements Serverはそのデータを読取りおよび表示しますが、管理操作は行いません。アイデンティティ・データの管理は、アイデンティティ・ストアのツールまたはOracle Identity Managerなどのアイデンティティ管理製品を使用して行われます。
このリリースのOracle Entitlements Serverでは、ポリシー・オブジェクトと定義されたポリシーの管理に使用されるポリシー・ストアは、リレーショナル・データベース(推奨)またはLDAPベース・ディレクトリのどちらでもかまいません(Oracle Internet Directoryはポリシー・ストアとして使用できますが、機能に制限があります)。ハードウェア要件に関するリンクは、3.1項「インストール前の作業」を参照してください。ポリシー・ストアの作成および初期化の手順については、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
次の各項では、認可ポリシー・マネージャのグラフィカル・インタフェース(管理コンソールとも呼ばれる)にアクセスする方法について説明しています。
次の手順に従い、認可ポリシー・マネージャ管理コンソールにサイン・インします。
ブラウザのアドレス・バーに認可ポリシー・マネージャ管理コンソールのURLを入力します。たとえば、次のように入力します。
https://hostname:port/apm/
これらの意味は、次のとおりです。
HTTPSは、Webサーバーが戻すユーザー・ページ・リクエストを暗号化および復号化できるように、Secure Socket Layer(SSL)を持ったHypertext Transfer Protocol(HTTP)を表します。
hostnameは、Oracle Authorization Policy Manager管理コンソールをホストするコンピュータの完全修飾ドメイン名です。
portは、認可ポリシー・マネージャ管理コンソール用に指定されたバインド・ポートです(これはWebLogic Server管理コンソール用のバインド・ポートと同じです)。
/apm/
は認可ポリシー・マネージャの「ログイン」ページです。
システム管理者の資格証明を入力します。
デフォルトのシステム管理者の識別子はweblogic
です。パスワードはインストール中に提供されたものと同じです。図3-4は「サインイン」ページのスクリーンショットです。
「サインイン」をクリックします。
次の手順に従い、認可ポリシー・マネージャ管理コンソールからサイン・アウトします。
管理コンソールの右上隅にある「サインアウト」リンクをクリックします。
図3-5は「サインアウト」リンクのスクリーンショットです。
ブラウザ・ウィンドウを閉じます。
正常にログインされると、認可ポリシーマネージャの管理コンソールが表示されて、「認可管理」タブがアクティブになります。ナビゲーション・パネルが左側で、ホーム領域が右側です。ナビゲーション・パネルで選択されたオブジェクトがタブで開かれ、ホーム領域に表示されます。図3-6は管理ユーザーが正常にサイン・インした後の管理コンソールのスクリーンショットです。
次のリストでは、図3-6に示されたトップ・レベル項目を説明しています。詳細は、該当するリンクを参照してください。
管理コンソールで使用される構成タブについては、次の各項を参照してください。各タブはナビゲーション・パネルとホーム領域から構成されます。
「認可管理」タブはポリシー・オブジェクトの検索および管理に使用します。このタブは管理コンソールに正常にログインしているときにアクティブになります。図3-7は「認可管理」タブのスクリーンショットです。
「認可管理」では、左側がナビゲーション・パネルで、右側がホーム領域です。ナビゲーション・パネルで選択した項目に応じてホームの外観が変わります。詳細は、3.4.2項「ナビゲーション・パネル」および3.4.3項「ホーム領域」を参照してください。
「システム構成」タブはOracle Entitlements Serverデプロイメントの管理およびシステム・タイプ・オブジェクトの管理に使用します。図3-8は「システム構成」タブのスクリーンショットです。ナビゲーション・パネルで選択されたオブジェクトがホーム領域のタブを使用して表示されます。
次のタスクが「システム構成」で実行されます。
セキュリティ・モジュールの作成
セキュリティ・モジュールのアプリケーションへのバインド
システム管理者の管理(追加の管理者ロールの作成、ユーザーのシステム管理者ロールへの割当て、権限のシステム管理者ロールへの割当てなど)
詳細は、第8章「システム構成の管理」を参照してください。
ナビゲーション・パネルを使用して、グローバルまたはアプリケーション情報ツリーを参照するか、簡易検索を実行することで、セキュリティ・オブジェクトを検索します。すべてのグローバルおよびアプリケーション・ポリシー・オブジェクトがナビゲーション可能なツリーで表示されます。ツリーを参照することも、定義した検索条件に基づき検索結果としてオブジェクトを表示させることもできます。図3-6は折りたたまれたノードを含むナビゲーション・パネルが表示されたスナップショットです。図3-9に、折りたたまれたノードと多くのポリシー・オブジェクトをビューに含むナビゲーション・パネルを表示しています。
ナビゲーション・パネルには、上から下まで、次の要素が含まれます。
簡易検索でポリシー・オブジェクトを選択するためのプルダウン・リスト。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
簡易検索の範囲を選択するためのプルダウン・リスト。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
簡易検索の文字列を入力するためのテキスト・ボックス。入力した文字列は、ポリシー・オブジェクトの名前および表示名と比較されます。一致した文字列は、「検索結果」タブに表示されます。
「参照」タブには、展開および縮小が可能な次のノードが表示されます。
「グローバル」ノードには外部ロールなどのグローバル・オブジェクトが収集されます。
「アプリケーション」ノードには、ログインしている管理者により管理されている1つまたは複数のアプリケーションが含まれます(ログインしているユーザーがアクセスを認可されているアプリケーションのみが表示されます)。表示されているいずれかのアプリケーションから、管理者はリソース・タイプ、資格、リソース、ポリシー、ロールなどのアプリケーション固有のポリシー・オブジェクトにアクセスできます。詳細は、第8章「システム構成の管理」を参照してください。
図3-10に示すように、「検索結果」タブには、最新の簡易検索の結果が表示されます。
選択したポリシー・オブジェクトでの操作を選択するための「アクション」および「ビュー」ドロップ・ダウン。
ナビゲーション・パネルから、「アクション」ドロップダウン・リストに含まれる「新規」および「開く」オプションを表示するには、2つの方法があります。
目的のアプリケーションを探し、ノードを展開し、目的のオブジェクトを選択します。「アクション」ドロップダウンをクリックし、「新規」を選択します。
目的のアプリケーションを探し、ノードを展開し、目的のオブジェクトを選択します。アプリケーション・ノードからオブジェクトを右クリックします。
「新規」を選択して同じタイプの新しいオブジェクトを作成し、「開く」を選択してホーム領域の検索タブを表示します。ノードからオブジェクトをダブルクリックしても、ホーム領域に「検索」タブを開くことができます。
ホーム領域はナビゲーション・パネルの右側に表示され、最もよく使用されるポリシー・オブジェクトに対する「新規」および「検索」画面へのクイック・アクセス・リンクが含まれます。図3-11に示すように、管理コンソールのホーム領域は次のセクションに分割されています。
アプリケーション領域は、ホーム領域の上側にあります。「アプリケーション名」ペインにはログイン・ユーザーが使用できるすべてのアプリケーションが表示されます。このペインの右側には、新しいポリシー・オブジェクト(資格、リソース、リソース・タイプ、アプリケーション・ロールおよび認可ポリシー)の作成や定義済みのポリシー・オブジェクトの検索などの一般的な操作を実行する画面へのリンクがあります。
「グローバル」セクションはホーム領域の右下にあります。このセクションはすべてのアプリケーションで共有されるオブジェクトが対象で、外部ロール検索が含まれます。
資格リソース・センター・セクションはホーム領域の左下にあります。最もよく使用される手順に関する情報へのリンクが含まれます。
管理コンソールの使用中に情報を取得するには、右上隅にある「ヘルプ」リンクをクリックします(図3-5参照)。別のウィンドウが開きます。このウィンドウから、オンライン・ヘルプと、HTML形式のこのマニュアルの埋込みバージョンの両方にアクセスできます。ウィンドウが表示されたら、ドロップダウンのマニュアル・リストから、Oracle Entitlements Server管理コンソールのオンライン・ヘルプまたは『Oracle Entitlements Server管理者ガイド』のいずれかを選択します。ヘルプ・トピックはマニュアルの目次のリンクと同じように、埋込みマニュアルの対応する項へとリンクします。