| Oracle® Fusion Middlewareディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ 11gリリース2 (11.1.2.2) E51904-01 |
|
 前 |
 次 |
| Oracle® Fusion Middlewareディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ 11gリリース2 (11.1.2.2) E51904-01 |
|
前 |
次 |
この章では、Microsoft Active Directoryベースのデータ・リポジトリでLogon Managerを正しくデプロイするために必要な前提条件と手順について説明します。
Oracle Enterprise Single Sign-On Logon Manager (Logon Manager)は、ユーザーとターゲット・アプリケーションの間の中間層として機能するセキュアで容易にデプロイ可能なシングル・サインオン・ソリューションです。ユーザーの認証は1回で済み、ユーザー資格証明に対する後続のすべてのリクエストはLogon Managerによって自動的に検出されて処理されます。Logon Managerの詳細は、Oracleサポート・サービスから入手できる、Oracle Enterprise Single Sign-On Suite技術概要のホワイト・ペーパーを参照してください。
Active Directoryなどのディレクトリ環境にLogon Managerをデプロイする選択肢もあり、これにより、ネットワーク上の任意のマシンに対して、アプリケーション資格証明、テンプレートおよびポリシーの一括格納によるシングル・サインオン機能を実装できます。ユーザーは、このディレクトリを同期して、これらの項目をダウンロードし、新規作成または変更されたユーザー名やパスワードで資格証明ストアを更新します。
既存のディレクトリ環境にLogon Managerを追加すると、次のような利点があります。
Logon Managerでは既存のユーザー・アカウント、グループおよびネイティブのディレクトリ権限(ACL)を使用できるため、これらの項目を個別に管理したり、他のディレクトリまたはデータベースと同期する必要がありません。
Logon Managerのデータは、既存のバックアップ、フェイルオーバーおよび障害時リカバリ計画によって自動的に保護されます。
専用サーバーやサーバー側のプロセスは不要で、Logon Managerのスケーラビリティとパフォーマンスは、既存のディレクトリ・インフラストラクチャの容量と堅牢性のみに依存します。
管理者のタスクが増えることはなく、また新しいツールや概念について学習する必要もありません。Logon Managerの委任管理は、ディレクトリのネイティブ機能によって行われます。
また、ディレクトリの使用によって、Logon Managerのテンプレートとポリシーの編成を見やすい階層構造で表示することもできます。現行の環境で必要な場合はフラット・モデルを使用できますが、階層を適切に設定すれば、より効率的なアクセス制御によって、トップ・ディレクトリ、エージェント、およびネットワークのパフォーマンスの安定化を図り、Logon Managerの管理を簡略化できます。
Logon ManagerでActive Directoryにデータを格納するためには、管理コンソールを使用してActive Directoryスキーマを拡張する必要があります。スキーマの拡張は、4つのオブジェクト・クラスを追加し、これらのタイプのオブジェクトを作成、読取り、変更、削除できるように、適切な権限を設定して行います。既存のクラスおよび属性を変更する方法はありません。Logon Managerでアプリケーション資格証明をユーザー・オブジェクトに格納する場合(推奨されるベスト・プラクティス)は、この機能に必要な権限もLogon Managerによって適用されます。
|
注意: 注意: スキーマの拡張はインストール後の手順です。手順については、「スキーマの拡張」を参照してください。スキーマの拡張を実行する前に、Microsoft MOMなどのツールを使用してスキーマ・ヘルス・チェックを実行することを強くお薦めします。 |
Logon Managerによって実行されるスキーマの拡張の詳細は、次の付録を参照してください。
Logon Managerエージェントは、Active Directoryシンクロナイザのプラグインを使用してActive Directoryと通信します。適切に設定されている場合は、次のいずれかのイベントが発生すると同期が実行されます。
Logon Managerエージェントが起動された。
アプリケーション資格証明がエンド・ユーザーによって、追加、変更または削除された。
エージェントを実行しているマシンがIPアドレスを取得した、または既存のIPアドレスが変更された。(Logon Managerがこれらのイベントに応答するように設定されている場合)。
自動同期の間隔が経過した(設定されている場合)。
ユーザーがLogon Managerのリフレッシュ機能を使用して同期を開始した。
同期を実行している間、Logon Managerエージェントは、Logon Managerツリーを移動して、現在のユーザーにアクセス権が付与されているサブコンテナのコンテンツをロードし、前回の同期後に追加、変更または削除された資格証明を同期します。
Logon Managerは、ユーザーが「First-Time Use (FTU)」ウィザードを完了したときに生成される一意キーを使用してアプリケーション資格証明を暗号化します。資格証明は、エージェントのローカル・キャッシュ内、ディレクトリ内およびネットワークを移動しているときも常に暗号化された状態を維持します。Logon Managerは、設定されたアプリケーションがログオンをリクエストしたときにのみ資格証明を(ディスクではなくメモリーに対して)復号化し、ログオン・リクエストの完了後すぐにターゲット・メモリーの場所を消去します。ユーザーおよび有効なアプリケーションごとにLogon Managerが格納するデータ量はわずかです(数バイトか数キロバイト)。
|
注意: Logon Managerはディレクトリ接続時のSSL暗号化をサポートしています。SSLのサポートは、通常は必要ありませんが特定のシナリオでは必要になります。詳細は、「SSLのサポート」を参照してください。 |
Logon Managerでは、組織のニーズに合わせてディレクトリ構造を思いのままに設定できます。具体的には、データをフラット・モデルで格納するか階層構造で格納するかの選択肢があります。フラット・モデルは小規模なデプロイメントでは問題なく機能しますが、成長する大規模なデプロイメントでは最初から階層構造を使用します。サブツリーの適切な構造は次の要素によって決まります。
ユーザーの数
Logon Managerでサポートするアプリケーションの数
既存のインフラストラクチャの堅牢性
組織の構造
Active Directoryの設計および実装については、http://technet.microsoft.com/en-us/library/bb727085.aspxのMicrosoftの記事で説明されているベスト・プラクティスに必ず従ってください
次のガイドラインに従ってサブツリーを階層構造として設定することをお薦めします。
OUを使用して、部門や部署など、組織の構造に合わせたカテゴリごとにテンプレートおよびポリシーをグループ化します。
OUレベルでアクセスを制御します。
現在の環境で特に指定がないかぎり、継承を無効化し、Logon Managerのサブツリーのルートでユーザー権限を付与しないようにします。
このように階層を設定すると、次の利点があります。
・見やすくわかりやすいツリー構造。ディレクトリ・ブラウザでサブツリーを表示すると、サブツリー構造を一覧できるので全体が把握しやすくなります。
不要な権限の継承なし。ユーザーには、アクセスする必要のないサブOUに対する権限はネイティブで継承されません。これにより、ツリーの下位に継承される不要なアクセス権限を明示的に拒否せずに済みます。
ネットワーク、エージェントおよびディレクトリの堅牢なパフォーマンス。通常、大量のテンプレートおよびポリシーをダウンロードするユーザーは、自分のジョブに関連する項目のみをダウンロードするユーザーよりもネットワーク・トラフィックが多く、ディレクトリの負荷も高くなります。グループ化によって、環境のリソースが節約され、エージェントのレスポンス時間が改善されます。
管理タスクの分散。テンプレートを制御しやすいセットに整理し、アクセス権限の設定によって、ユーザーが管理できるテンプレートを決定します。権限に基づいたテンプレートのバージョン制御を実装する機能も使用できます。
低い管理オーバーヘッド。テンプレート・レベルでのアクセスの制御では、Logon Manager管理コンソールから個々のテンプレートに権限を設定する必要があり、OUレベルでのアクセスの制御は、Microsoftやサードパーティの管理ツールを使用した委任管理によって行います。
次の図は、前述のベスト・プラクティスを反映して設計されたサンプルのLogon Managerサブツリーを示しています。
サンプルのシナリオでは、ポートランド部門のユーザーは、サクラメント部門で使用するアプリケーションへのアクセスは不要で、その逆も同様であるため、各部門のテンプレートおよびポリシーは、ルートの専用サブOUに配置し、両部門が互いのサブOUにアクセスできないようにしています。つまり、具体的な実装方法は使用する環境によって決まります。
フラット・モデルで開始し、ユーザーおよびプロビジョニングするアプリケーションの数が多くなると予想される場合は、階層構造への移行の準備ができるまでは、ルートの下にサブコンテナを作成し、それを使用してテンプレートとポリシーをフラットに格納します。ユーザーを追加したり、アプリケーションをさらにプロビジョニングする際には、階層に移行してなるべく早いうちに環境のパフォーマンスを確認してください(後で確認するよりも手間を省くことができます)。
図1に示すように、ワークフローの各段階(開発、ステージング、本番)で専用のサブOUを作成することをお薦めします。この方法によって次のことができます。
テンプレートおよびポリシーがワークフローを通過して本番に入るときには、ワークフローの各ステージを移動するたびにこれらのシャドウ・コピーが保持されるので、テンプレートおよびポリシーに対して行われた変更をトラッキングできます。
必要に応じて、テンプレートおよびポリシーを以前のバージョンにロールバックできます。
ワークフローの各ステージで、誰がどのテンプレートおよびポリシーを使用するかを制御できます。特に、テンプレートおよびポリシーを本番に配置できるユーザーの管理には、厳格なルール設定が必要です。
必ず、隔離した環境ですべてのアプリケーション・テンプレートおよび管理オーバーライドをテストしてから、エンド・ユーザーにデプロイしてください。テストは、変更内容の確認や、本番環境で発生したとしたら、解決するのに多くのコストがかかるような潜在的な問題の解決に役立ちます。正しく構成されていないテンプレートや誤った管理オーバーライドをネットワーク全体にプッシュした場合、ミッション・クリティカルなアプリケーションへのアクセスがエンタープライズ全体で失われることがあるので、テストは大規模なデプロイメントでは特に重要です。
隔離したテスト環境をセットアップする場合は、デプロイメント・グループのメンバーのみがアクセス権を持つ専用のテスト・コンテナを作成してください。次に、このコンテナ内のLogon Managerエージェントを特定して、テンプレートと管理オーバーライドをその中に配置します。テンプレートとポリシーが意図したとおりに動作していることを確認したら、それらをターゲットの本番コンテナに移動します。
テンプレートをテストした後にシャドウ・コピーを維持しない場合、次の手順に従って、それらをテスト・コンテナからターゲットの本番コンテナに移動します。
ディレクトリからテンプレートを取り出します。
そのテンプレートのローカル・バックアップを作成します。
ディレクトリ内の新しい場所に、このコピーを配置します。
テンプレートを元の場所から削除します。
コンソールを使用してオブジェクトのアクセス制御リスト(ACL)を変更する場合、リポジトリに接続するために使用される接続文字列(リポジトリ・ホスト名またはIP)は、コンソールでは一意のリポジトリ識別子として扱われ、オブジェクト内に記録されます。そのため、コンソールは、同じリポジトリに接続する2つ目の一意リポジトリや2つ目のメソッドを識別できません。
これにより、同一ディレクトリに対して異なる接続文字列(IPアドレスやホスト名)を使用すると、セッション間で行われたオブジェクトへの変更が失われます。Active Directory環境でこの問題を回避するには、特定のIPアドレスまたはホスト名を使用せずにリポジトリのドメインを使用します。これにより、コンソールから最も近い場所にあるDCへの接続が自動的に行われるため、接続文字列の一貫性が保たれ、オブジェクトのACLに対して行われた変更がセッション間で維持されます。
環境全体でテンプレートと設定の互換性を維持するには、常に、本番にデプロイされているエージェントの最も古いバージョンと一致するコンソールのバージョンを使用することです。テンプレート・スキーマはリリース間で変更されるため、新しいバージョンのコンソールによって作成または変更されたテンプレートを使用すると、古いエージェントは予期しない動作をする可能性があります。このため、Logon Managerを新しいリリースにアップグレードしている場合は、すべてのデプロイされたエージェント・インストールをアップグレードしてから、コンソールをアップグレードすることを強くお薦めします。
|
注意: テンプレートに何も変更を行っていない場合でも、テンプレートをリポジトリに戻すと、現在インストールされているコンソールのデータ・スキーマを使用して再書込みが行われます。 |
Logon Managerエージェントの動作(ディレクトリとの相互作用も含む)は構成済の設定によって管理し、エンドユーザーのマシンへのデプロイはLogon Manager管理コンソールを使用してLogon Manager管理者が行います。設定は、次のいずれかのカテゴリに該当します。
グローバル・エージェント設定は、エージェントのローカル・ポリシーであり、エンド・ユーザー・マシンのWindowsレジストリに格納され、Logon Manager MSIパッケージに含まれて、エージェントにデプロイメント時の初期構成を提供します。グローバル・エージェント設定は、HKEY_LOCAL_MACHINE\Software\Passlogix (32ビット・システム)またはHKEY_LOCAL_MACHINE\Wow6432Node\Software\Passlogix (64ビット・システム)に格納されます。
|
注意: HKLMハイブを変更できるユーザーは、そのグローバル・エージェント設定を変更できるため、意図した場所からエージェントの動作を変更することができます。エンド・ユーザーが設定を変更できないようにするには、管理オーバーライドでその設定をデプロイします。 |
管理オーバーライドはWindowsレジストリに格納されているグローバル・エージェント設定よりも優先され、エージェント用のドメイン・ポリシーを構成します。オーバーライドは、同期化の際にエージェントによって中央リポジトリからダウンロードされ、改ざん防止機能が付いた、エージェントの暗号化済ローカル・キャッシュに格納されるため、これによって、エンド・ユーザーによる変更ができないようになります。ロール/グループのセキュリティが有効な場合、管理オーバーライドはユーザーまたはグループごとに適用することも、企業全体に適用してすべてのユーザー設定の一貫性を保つこともできます。
|
注意: 管理オーバーライドを計画する際は、慎重に行ってください。オーバーライドが少なければ、格納および転送するデータも少なくなるので、中央リポジトリとの同期がより効率的になります。エンド・ユーザーのマシン上では管理オーバーライドを確認することができないため、オーバーライドの数を減らすことで不明な状況が解消され、トラブルシューティングも容易になります。 |
管理オーバーライドとグローバル・エージェント設定は、エージェントの完全な構成ポリシーを適用します。このガイドの残りの部分では、推奨される最適な構成について説明し、Enterprise Single Sign-On Suite管理者ガイドにある情報を補足します。
|
警告: ドメイン名やユーザー・オブジェクト・パスなどの設定は、必ず十分にテストしてからデプロイし、必要のない場合は管理オーバーライドとしてデプロイしないでください。入力ミスによるドメイン名の単純な間違いなどによって、エンド・ユーザーのワークステーションでディレクトリの同期ができなくなると、コンソールから修正内容を伝えることはできないため、他のツールを使用してユーザー・マシンに変更を適用する必要があります。 |
次の図は、Active Directoryと同期するためのLogon Manager管理コンソールの標準的な設定を示しています。
次の項では、Active Directoryと同期するためのLogon Managerの構成について、そのベスト・プラクティスを説明します。このガイドで説明されている設定の詳細な情報が必要な場合は、コンソールに含まれているオンライン・ヘルプを参照してください。
|
注意: 開始する前に、Logon ManagerエージェントとActive Directoryのシンクロナイザ・プラグインがインストールされていることを確認してください(インストールされていないとコンソールにAD設定が表示されません)。インストール手順については、Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。 |
|
ヒント: 開発環境またはステージング環境では、Internet Explorerで「発行元証明書の取り消しを確認する」オプションを無効にして、コンソールの起動時、およびマシンがインターネットに接続されていないときの遅延をなくします。(遅延は、Internet Explorerがサーバーの証明書を検索しているとき、および認証局に接続できずにタイムアウトした場合に発生します。)このオプションは本番マシンでは無効にしないでください。 |
このマニュアルに記載されていない設定については、ご使用の環境で特に指定されていないかぎり、デフォルト値のままにすることをお薦めします。管理コンソールで設定のチェック・ボックスが選択されていない場合は、デフォルト値が自動的に有効になります。この値は、チェック・ボックスの横にある非アクティブ・フィールドに表示されます。
この項では、推奨されるグローバル・エージェント設定のベスト・プラクティスを示します。次の説明に従って設定を構成し、カスタマイズされたLogon Manager MSIパッケージにそれらを含めます。(パッケージの作成手順については、Enterprise Single Sign-On Suiteインストレーション・ガイドの一括デプロイメントのためのLogon Managerのパッケージ化に関する説明を参照してください。)
次の手順に従って、Logon Managerのデータの格納を構成することをお薦めします。
Active Directoryのデプロイメントでは、ユーザー・データおよび構成データの格納にディレクトリ・オブジェクトを使用することをお薦めします(これにより、「Logon Manager Active Directoryのサブツリーの設計」の説明に従って、階層構造での格納、ロールおよびグループ・ベースの個別のコンテナに対するアクセス制御、テンプレートおよびポリシーを使用することが可能になります)。この機能を無効にしている場合、Logon Managerは、すべてのテンプレートおよび構成データをツリーのルートの下に単一のフラット・ファイルとして格納します。
場所: 「Global Agent Settings」→「Live」→「Synchronization」
有効にするには: チェック・ボックスを選択して、ドロップダウン・リストで「Yes」を選択します。
Logon ManagerでActive Directoryにデータを格納するには、Logon Managerのルート・コンテナ(Logon Managerの構成オブジェクトが格納される)の場所を指定する必要があります。
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
設定するには: チェック・ボックスを選択し、(…)ボタンをクリックして必要な値を入力します。終了したら、「OK」をクリックします。
Logon ManagerをActive Directoryで使用する主な利点は、それぞれのユーザー・オブジェクトの下にユーザー資格証明を格納できることです。こうすることで、次のような管理の簡略化が図れます。
個別のユーザーの資格証明を検索したり表示する操作がすばやく直感的になります。
ディレクトリからユーザーを削除すると、ユーザーのアプリケーション資格証明のキャッシュがそれぞれのユーザー・オブジェクトから自動的に削除されます。
|
注意: このオプションは、必要なスキーマの変更と権限の割当てを行わないかぎり機能しません。手順については、「Logon ManagerのためのActive Directoryの準備」を参照してください。 |
|
注意: ユーザー資格証明がそれぞれのユーザー・オブジェクトの下に格納され、資格証明オブジェクトの使用が有効になっている場合、Locatorオブジェクトを使用する必要がありません。(フラット・ディレクトリ・モデルを使用している場合、Locatorは、テンプレート、資格証明およびその他のオブジェクトをディレクトリ内で検索してLogon Managerに伝えるポインタ・オブジェクトです(詳細は「付録B: Logon Managerリポジトリ・オブジェクトのクラスおよび属性」を参照)。) |
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
有効にするには: チェック・ボックスを選択して、ドロップダウン・リストから「Under respective directory user objects」を選択します。
次のようにLogon Managerのリポジトリ接続設定を構成することをお薦めします。
使用している環境でこのフィールドに特定の値を入力する必要がないかぎり、Logon Managerでネットワーク上の最も近いドメイン・コントローラを検出し、同期するように設定することをお薦めします。たとえば、エンド・ユーザーのマシンが同一ドメイン(ディレクトリとして)上にない場合は、正しいドメイン名を入力する必要があります。このフィールドに完全なURLをハードコードすると、そのDCがオフラインになったときのフォルト・トレランス(フォールバック)が失われます。
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」 
Logon Managerが最も近いDCを検出するには: チェック・ボックスの選択を解除します(デフォルトの設定)。
設定するには: チェック・ボックスを選択して(…)ボタンをクリックし、必要な値を(1行に1つずつ)入力して「OK」をクリックします。
Logon ManagerリポジトリのシンクロナイザはSSLサポートが有効の状態で出荷されるので、これを無効にしないことを強くお薦めします。使用する環境では、セキュリティを最大化するために、Logon Managerおよびその他のリポジトリへのすべての接続に必ずSSLを使用してください。
|
注意: Logon Managerをデプロイする前に、SSLを使用するようにドメイン・コントローラを構成してください。手順の詳細は、 |
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
有効にするには(無効になっている場合): チェック・ボックスの選択を解除します。
「Credentials to use」オプションを使用して、ディレクトリに対する認証を行う場合に、Logon Managerで使用する資格証明を選択します。Logon Managerがディレクトリに対して認証できない場合に、ユーザーに再認証のためのプロンプトが表示されないように、これを「Use local computer credentials only」に設定することをお薦めします。
|
注意: これをデフォルトの設定(「Try local computer credentials; if it fails, use Active Directory server account」)のままにしないでください。デフォルト設定のままにすると、ディレクトリとエンド・ユーザー・マシンが同じドメイン上にない場合に、認証が失敗します(無効に設定していないかぎり、再認証のプロンプトが表示されます)。 |
|
注意: Smart Cardを使用してLogon Managerに対する認証を行う場合、ドロップダウン・メニューから「Use card's certificate」を選択することで、カードの資格証明を使用してリポジトリに対する認証を行うこともできます。詳細は、Oracle Enterprise Single Sign-On Suite管理者ガイドを参照してください。 |
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから適切なオプションを選択します。
認証が失敗したかまたは切断された場合に、ディレクトリに対して再認証を行うには、「Prompt when disconnected」オプションを使用して、Logon Managerがユーザーにプロンプトを表示するかどうかを決定します。ユーザーの不要な混乱とそれによるヘルプデスクへの問合せを避けるために、この設定をデフォルト値の「No」のままにすることをお薦めします。
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
設定するには: チェック・ボックスを選択し、ドロップダウン・リストから適切なオプションを選択します。
このオプションは、前述した「Credentials to use」オプションに直接関連し、「Allow disconnected operation」が「No」に設定されている場合は何も効果はありません。
使用している環境でこのフィールドに特定の値を入力する必要がないかぎり、Logon ManagerによってActive Directory内のユーザー・アカウントが自動的に検索されるようにしておくことをお薦めします。このフィールドにパスを間違ってハードコードしたり、そのパスを変更した場合は、このコンソール以外のツールを使用して各エンド・ユーザーのマシンを更新することが必要になります。
|
警告: 本番環境では、フォルト・トレランスを維持するために、このフィールドは常に空白にしてください。 |
|
ヒント: ドメインを1つのみ使用している場合や、ほとんどのユーザーが1つのプライマリ・ドメインに所属する場合は、ドメイン名を指定することで、Windowsパスワードを使用してLogon Managerに対する認証を行うときに、エンド・ユーザーがドメイン名を入力しなくて済むようになります。 |
場所: 「Global Agent Settings」→「Live」→「Synchronization」→「ADEXT」
Logon Managerによるユーザー・アカウントの検索を行うには: チェック・ボックスの選択を解除します(デフォルト設定)。
設定するには: チェック・ボックスを選択して(…)ボタンをクリックし、必要な値を(1行に1つずつ)入力して「OK」をクリックします。
現在の環境が次のいずれかに該当する場合は、Active Directory (ADEXT)シンクロナイザ・プラグインがインストールされていて、「Synchronizer order」リストで有効になっていることを確認してください。
Logon Managerが複数のリポジトリと同期している。
Logon Managerがローミング同期を使用している。
現在の環境にKiosk Managerがインストールされている。
|
注意: 複数のリポジトリおよびローミング同期に対応するようにLogon Managerを構成する手順やLogon Managerのインストールおよび構成方法は、このガイドでは取り扱いません。詳細は、Enterprise Single Sign-On Suite管理者ガイドを参照してください。 |
場所: 「Global Agent Settings」→「Live」→「Synchronization」
設定するには: チェック・ボックスを選択して、(…)ボタンをクリックします。表示されるリストで、「ADEXT」の隣のチェック・ボックスを選択して、「OK」をクリックします。必要に応じて、上向きまたは下向きの矢印を使用して、同期順を設定します。
ユーザーが常に最新の資格証明、アプリケーション・テンプレート、パスワード・ポリシーおよび管理オーバーライドを持つようにするには、起動時に同期を待つようにエージェントを構成します。このオプションを有効にすると、エージェントはディレクトリがオンラインかどうかを確認します。ディレクトリがオンラインの場合は、ディレクトリと正常に同期するまで、エージェントはアプリケーションのログオン・リクエストに応答しません。ディレクトリがオフラインの場合は、エージェントは同期を試行せずにすぐに起動します。
場所: 「Global Agent Settings」→「Live」→「Synchronization」
設定するには: チェック・ボックスを選択して、ドロップダウン・リストから「Yes」を選択します。
最適化された同期は、Logon Managerエージェントに、前回の同期の後で変更された資格証明のみを同期するように指示します。現在の環境に応じて、次のいずれかを実行します。
ユーザーごとの資格証明が大量にある場合は、このオプションを有効にすると、デプロイメントでの同期パフォーマンスが向上します。
ユーザーごとの資格証明が4つ以下で、ユーザーごとにダウンロードしたテンプレートが大量にある場合は、このオプションを無効にすると、デプロイメントでの同期パフォーマンスが向上します。
場所: 「Global Agent Settings」→「Live」→「Synchronization」
現在の環境で特に指定する必要がない場合は、デフォルト値(「Yes」)を使用してください。
デプロイ中にディレクトリへの接続を確立できない場合には、Logon Managerエージェントが実行されないように構成します。これにより、エージェントがディレクトリに接続されていない状態で、かつローカル・キャッシュが存在しない場合に、「First Time Use」(FTU)ウィザードが完了してしまうことを回避できます。ディレクトリが使用できないときにエージェントが実行されないようにすることで、ディレクトリから切断されているのにFTUウィザードが完了して暗号化鍵の2つ目のセットが作成されてしまう、というよくある状況を回避できます。
|
注意: この必要なベスト・プラクティスの詳細は、『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』のLogon Managerエージェントの構成に関する項を参照してください。 |
場所: 「Global Agent Settings」→「Live」→「Synchronization」
設定するには:チェック・ボックスを選択して、ドロップダウン・リストから「No」を選択します。
ドメイン名やオブジェクトのパスなどのディレクトリの同期設定は、管理オーバーライドとしてデプロイしないでください。(この説明は「グローバル・エージェント設定および管理オーバーライド」を参照してください。)推奨されるオーバーライドのベスト・プラクティスについては、Oracle Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイドおよびOracle Enterprise Single Sign-On Suite管理者ガイドのLogon Managerエージェントの構成に関する項を参照してください。
この項では、Active DirectoryでのLogon Managerのデプロイメント・プロセスについて、その概要を説明します。デプロイメントを進める前に、このドキュメントの前の項にすべて目を通すようにしてください。Active DirectoryでのLogon Managerのデプロイでは、次の手順を実行する必要があります。
次のドキュメントを入手します。
このドキュメントの最新バージョン
Oracle Enterprise Single Sign-On Suiteインストレーション・ガイド
Oracle Enterprise Single Sign-On Suite管理者ガイド
使用しているバージョンのLogon Manager用インストレーション・ガイドの説明に従って、ドメイン内のマシンにLogon ManagerエージェントおよびLogon Manager管理コンソールをインストールします。エージェントのインストール時には、Active Directoryシンクロナイザ・プラグインが選択されていることを確認してください。
「Logon ManagerのためのActive Directoryの準備」の手順を完了します。
Logon Managerのクラスと属性を使用してActive Directoryスキーマを拡張します。
ユーザー・オブジェクトへのユーザー資格証明の格納を有効にします。
必要なツリー構造を作成して必要な権限を付与します。
次のようにLogon Managerを構成します。
「Active Directoryシンクロナイザの構成」の手順を完了します。
このガイドの「推奨グローバル・エージェント設定」で説明されているオプションを構成します。
「Logon Managerの構成のテスト」の説明に従って構成をテストします。
Enterprise Single Sign-On Suite管理者ガイドのLogon Managerエージェントの構成に関する項で説明されているオプションを構成します。
|
注意: 該当する設定の詳細は、コンソールのオンライン・ヘルプを参照してください。オンライン・ヘルプは、コンソールの「Help」メニューから参照できます。 |
テスト用のマシンで次の手順を実行します。
主なテンプレートおよびポリシーのパイロット・セットを作成します。
本番環境にデプロイされる、主なテンプレート、グローバル・エージェント設定、管理オーバーライドをそれぞれテストして、エンド・ユーザーの操作性を最終調整します。
Enterprise Single Sign-On Suiteインストレーション・ガイドの大量デプロイメント用のOracle Enterprise Single Sign-On Suiteのパッケージ化の手順を完了して、カスタムMSIパッケージを作成し、エンド・ユーザーのマシンにデプロイします。
残りのアプリケーション・テンプレートの作成、テスト、デプロイメントを行います。異なるアプリケーション・タイプのプロビジョニングの詳細は、Logon Managerアプリケーション・テンプレートの構成および診断のガイドを参照してください。
この項では、Active DirectoryをLogon Managerで使用するための基本的な準備手順について説明します。この準備では、それぞれのユーザー・オブジェクトに資格証明を格納できるように、Logon Managerのクラスと属性を使用してActive Directoryスキーマを拡張し、必要なツリー構造を作成します。この手順を開始する前に、次が完了していることを確認します:
Microsoftのベスト・プラクティスで説明されているようにActive Directoryスキーマのヘルス・チェックを実行した。
Enterprise Single Sign-On Suiteインストレーション・ガイドで説明されているように管理コンソールをインストールした。
Logon Manager管理コンソールを起動します。デフォルトでは、コンソールのショートカットは「スタート」→「プログラム」→「Oracle」→「Logon Manager」→「Logon Manager Console」にあります。
|
注意: 開発環境またはステージング環境では、Internet Explorerで「発行元証明書の取り消しを確認する」オプションを無効にして、コンソールの起動時、およびマシンがインターネットに接続されていないときの遅延をなくします。(遅延は、Internet Explorerがサーバーの証明書を検索しているとき、および認証局に接続できずにタイムアウトした場合に発生します。)このオプションは本番マシンでは無効にしないでください。 |
コンソールで、「Repository」メニューから「Extend Schema」を選択します。コンソールに「Connect to Repository」ダイアログが表示されます。
「Server Name」フィールドに、スキーマのマスター・ドメイン・コントローラの完全修飾IPアドレス、ホスト名またはNetBIOS名を入力します。
「Repository Type」ドロップダウン・リストで、「Microsoft Active Directory Server」を選択します。
ディレクトリで接続をリスニングしているポート番号を入力します。
デフォルトのポートは、SSL接続の場合は636、非SSL接続の場合は389です。
(オプション) SSLを使用するようにドメイン・コントローラを構成している場合は、「Use secure channel (SSL)」オプションを選択したままにし、使用しない場合は選択を解除します。(詳細は、「SSLのサポート」を参照してください。)
「Username/ID」および「Password」フィールドで、Logon ManagerがActive Directoryに接続するときに使用するアカウントの資格証明を入力します。環境によっては、ユーザー名の一部に対応するドメイン名を含める必要があります(例: ITSLIFE\Jim)。
「OK」をクリックして、コンソールがスキーマの拡張を実行するのを待ちます。コンソールに進行状況を示すステータス・ダイアログが表示されます。スキーマが正常に拡張されると、ステータス・ダイアログに確認のメッセージが表示されます。
スキーマの拡張が失敗した場合、トラブルシューティングの手順については付録Cの「Logon Managerのトラブルシューティング(Microsoft Active Directory)」の「Active Directoryスキーマの拡張の失敗」を参照してください。
「Close」をクリックします。
それぞれのユーザー・オブジェクトへのユーザー資格証明の格納を有効にすると、Logon Managerによってディレクトリ内で次の変更が行われます。
利用可能な上位クラスとしてuserクラスをvGOUserDataクラスに追加します。
すべてのユーザーにvGOUserDataオブジェクトを作成する権限を付与します。これらの権限は、ディレクトリ・ルートで付与され、ユーザー・オブジェクトまで再帰的に継承されます。
それぞれのユーザー・オブジェクトへのユーザー資格証明の格納を有効にするには、次の手順を実行します。
コンソールで、「Repository」メニューから、「Enable Storing Credentials Under User Object (AD Only)」を選択します。Active Directoryスキーマに変更が行われることを知らせる確認ダイアログがコンソールに表示されます。
「OK」をクリックして、コンソールが変更を行うのを待ちます。変更が完了すると、次のようにコンソールに確認ダイアログが表示されます。
変更が正常に行われたことを確認します。
Microsoft管理コンソールで、「Active Directoryスキーマ」スナップインを開きます。コンソールにスナップインが表示されていない場合は、Microsoftナレッジ・ベースの手順に従ってインストールします。
「Classes」ノードを展開してvGOUserDataクラスにナビゲートします。
vGOUserDataクラスを右クリックし、コンテキスト・メニューから「Properties」を選択します。
「vGOUserData Properties」ダイアログで、「Relationship」タブを選択します。
userクラスが「Possible Superior」フィールドに表示されているかどうかを確認します。
|
注意: 保護されているグループのメンバー(たとえば、ユーザーのACLがAdminSDHolderオブジェクトによって管理されているユーザー)は、AdminSDHolder ACLがこの機能に必要な権限で更新されるまでは、そのメンバーのユーザー・オブジェクトの下に資格証明を格納できません。この問題を解決する手順については、付録Cの「Logon Managerのトラブルシューティング(Microsoft Active Directory)」の「一部のユーザーがユーザー・オブジェクトの下に資格証明を格納できない」を参照してください。 |
ユーザー・クラスが利用可能な上位クラスとして表示されない場合、考えられる原因と解決手順については付録Cの「Logon Managerのトラブルシューティング(Microsoft Active Directory)」の「すべてのユーザーがユーザー・オブジェクトの下に資格証明を格納できない」を参照してください。
|
注意: 既存のコンテナを使用してLogon Managerオブジェクトを格納することもできますが、その場合、ディレクトリのパフォーマンスが低下することがあります。構成オブジェクト専用のコンテナを作成することをお薦めします。 |
Logon Manager管理コンソールで、左側ペインの「Repository」ノードを選択します。
右側ペインで「Click here to connect」リンクをクリックします。コンソールに「Connect to Repository」ダイアログが表示されます。
26ページから27ページの手順3から7の説明に従って、フィールドを入力し、「OK」をクリックして接続します。
次に示すように、このツリーで対象の親コンテナを右クリックし、コンテキスト・メニューから「New Container」を選択します。
コンソールに「New Container」ダイアログが表示されます。
「New Container」ダイアログで、必要な名前を入力して「OK」をクリックします。
|
注意: 注意: 現在の環境で、このコンテナに特定の名前を必要としない場合は、デフォルト名のSSOConfigを使用することをお薦めします。 |
手順4と5を繰り返して、必要な追加のコンテナを作成します。
Logon Manager用のActive Directoryの準備ができたら、現在の環境用にActive Directoryシンクロナイザを構成します。テンプレート・クライアント・マシン上でこれらの設定を構成し、エンド・ユーザーへのLogon Managerのデプロイに使用するMSIパッケージに、その構成を含めます。この手順を開始する前に、Logon Manager管理コンソールおよびLogon Managerエージェント(Active Directoryシンクロナイザ・プラグインを含む)がインストールされていることを確認します。
|
注意: ディレクトリの同期が行われる環境では機能しないので、アプリケーション・テンプレートをMSIパッケージに含めないでください。MSIパッケージにテンプレートを直接含める機能は、特別な場合にのみ使用します。かわりに、Logon Managerエージェントによる自動取得用のディレクトリにそれらをプッシュ送信します。 |
Logon Manager管理コンソールを起動します。
左側ペインで、「Global Agent Settings」ノードを右クリックして、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。現在のエージェント設定がWindowsのレジストリからコンソールにインポートされます。
「推奨グローバル・エージェント設定」および「推奨管理オーバーライド」の手順に従ってエージェントを構成します。
|
注意: 設定の横のチェック・ボックスが選択されていない場合は、設定のデフォルト値(チェック・ボックスの右にグレー表示されている値)が使用されます。 |
後で参照するために、構成をXMLファイルに保存します。「File」メニューから「Save」を選択し、必要なファイル名を入力して「Save」をクリックします。設定を変更する場合は、このXMLファイルをコンソールにロードして元の選択に戻すことができます。
「Tools」メニューから「Write Global Agent Settings to HKLM」を選択します。コンソールによって、変更がレジストリに書き込まれ、エージェントが再起動されます。
次の項に進みLogon Managerの構成を完了します。
Logon Managerの構成が完了したら、次に示す手順でテストを行い、Logon Managerが正しく機能しない場合はエラーを修正します。
Logon Manager管理コンソールを起動します。
左側ペインで、「Global Agent Settings」ノードを右クリックして、コンテキスト・メニューから「Import」→「From Live HKLM」を選択します。現在のエージェント設定がWindowsのレジストリからコンソールにインポートされます。
「Tools」メニューから「Test Global Agent Settings」を選択します。
表示される警告を読み、「OK」をクリックして続行します。
「Logon Manager Configuration Test Manager」ウィンドウが表示されます。ウィンドウの手順に従って、構成のテストを行い、エラーがある場合はそれを修正します。各オプションの詳細は、ウィンドウの右上にある「Help」(疑問符のマーク)ボタンをクリックします。
