| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイド 11g リリース2 (11.1.2.2) E53271-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイド 11g リリース2 (11.1.2.2) E53271-01 |
|
前 |
次 |
Provisioning Gatewayを使用すると、管理者は、組み込まれたProvisioning Gateway Webコンソールを使用するか、またはOracleおよびサード・パーティのアイデンティティ管理ソリューションと連携して、Logon Managerのユーザーに対するアプリケーションの資格証明のリモート・プロビジョニングを行うことができます。
サーバー側において、Provisioning Gatewayは、Microsoft IISがホストする2つのWebアプリケーションとして動作します。
Provisioning Gateway Webサービス - Web Consoleサービスまたは外部アイデンティティ管理ソリューションからの(適切なコネクタ・プラグインを使用して)プロビジョニング命令の受信、Logon Managerリポジトリへの書込みなどのリモート・プロビジョニング機能を有効にします。
Provisioning Gateway Webコンソール - Provisioning Gateway Webサービスに対する管理フロントエンドを提供し、Provisioning Gatewayおよび資格証明プロビジョニングが構成できるようにします。
エンド・ユーザー側では、個々の同期イベントにおいて、Logon ManagerのプラグインがLogon Managerリポジトリに格納されたプロビジョニング命令を読み出し、ユーザーの資格証明ストアからアプリケーションの資格証明を追加、変更、削除することにより命令を実行します。
Logon ManagerがSecuring Logon Managerに従ってセキュアにデプロイされ、構成されている場合、それ以外にクライアント側のProvisioning Gatewayを保護する作業は必要ありません。Logon Manager内のProvisioning GatewayプラグインがLogon Managerの同期メカニズムを使用してリポジトリと対話し、専用の接続を必要としないためです。リポジトリ接続がSSLを使用している場合、Logon Managerに組み込まれた暗号化メカニズムが接続セキュリティおよびデータ・セキュリティを確保します。
サーバー側のProvisioning Gatewayを保護するには、次の手順を実行します。
使用しているLogon Managerのリポジトリは、必ず「Logon Managerの保護」に記載されたセキュアな方法で構築、構成してください。
前項で説明したProvisioning Gateway Webサービスを、SSL接続のみを許可するように構成します。手順は『Oracle ESSO Suite Plusインストレーション・ガイド』に記載されています。
Provisioning Gateway Webサービスへの接続に"https"で始まるURLを使用するよう、Provisioning Gateway Web Consoleサービスを構成します。手順は『Oracle ESSO Suite Plusインストレーション・ガイド』に記載されています。
アカウントのデフォルト名はPMSERVICEです。ただし、使用している環境に応じてアカウント名をつけ、Provisioning Gatewayを構成してカスタマイズされた名前を使用するようにすることができます。
Oracle Privileged Account Managerと統合する場合、必要なSSL証明書を、Provisioning Gateway ServerマシンのTrusted Root Certificate Authorityに、コンピューター・アカウント・レベルでインストールする必要があります。詳細は『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。Oracle Privileged Account Managerは、暗号化されていない(非SSL)接続を許可しません。
以前のリリースのProvisioning Gatewayからアップグレードする場合、Provisioning Gatewayのイベント・ログ・データの保存にOracle Databaseを使用しているのであれば、アップグレード作業をすべて完了した後で、Provisioning Gateway Consoleにログオンする必要があります。これは、Windowsレジストリに保存された(データベース・ログオン資格証明が含まれる可能性がある)データベース接続文字列を暗号化します。
Provisioning Gateway Server Webアプリケーションが使用するweb.configファイルのappSettingsセクションは、常に暗号化されている必要があります。手順は『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。
Provisioning Gateway Web サービスがリポジトリへの接続に使用するLogon Managerリポジトリをホストしているドメインに、専用のアカウントを作成し、アカウントのアクセス権限をProvisioning Gatewayが適切に機能するために必要な最低限にまで制限してください。次のようなアカウントを作成します。
サービス・アカウントは、Provisioning Gatewayサービスが属すドメイン内の、Domain Usersグループのメンバーである必要があります。
サービス・アカウントは、各Provisioning Gatewayサーバー・マシンのローカル管理者グループのメンバーである必要があります。
アカウントのデフォルト名はPMSERVICEです。ただし、使用している環境に応じてアカウント名をつけ、Provisioning Gatewayを構成してカスタマイズされた名前を使用するようにすることができます。
構成手順は『Enterprise Single Sign-On Suiteインストレーション・ガイド』、『Enterprise Single Sign-On Suite管理者ガイド』、および個々のProvisioning Gatewayに関する文書に記載されており、すべてOracleサポート・ウェブサイトで閲覧できます。
