| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイド 11g リリース2 (11.1.2.2) E53271-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteセキュア・デプロイメント・ガイド 11g リリース2 (11.1.2.2) E53271-01 |
|
前 |
次 |
Password Resetは、SSLで暗号化されたHTTP経由で互いに通信し、SSLで暗号化されたチャネルを使用してデータ・リポジトリにアクセスするクライアント側およびサーバー側コンポーネントで構成されます。
クライアント側では、Password ResetはGINAライブラリ・スタブ(Windows XP)または資格証明プロバイダ、およびLocalSystemアカウント下で実行されているシステム・サービスを使用してWindowsログオン・メカニズムに接続します。いずれのメカニズムにおいても、Password Resetは、次に示すサーバー側Password Reset Webアプリケーションに接続(SSL付きHTTP)する、ロックダウンされたInternet Explorerウィンドウを起動するバナーまたはハイパーリンクを追加することにより、通常のWindowsログオン・ダイアログにパスワード・リセット機能を追加できます。サーバー側コンポーネントがSSL接続用に構成されている場合、デフォルトでクライアント側の構成はセキュアであり、それ以上強化する必要はありません。
|
注意: SSL使用のためにサーバー側コンポーネントを構成した後、エンド・ユーザー・マシンのWebアプリケーションのURLが、HTTPSプロトコルを使用するよう更新されていることを確認します。 |
サーバー側では、Password Resetはパスワード・リセット、チャレンジ質問、管理機能、およびそれぞれに対するユーザー・インタフェースを一括して提供するWindowsシステム・サービスに加えて、IISがホストするWebアプリケーションを動作させます。また、Universal Authentication Managerにチャレンジ質問機能を提供します。
Webアプリケーションは、EnrollmentClient、ResetClient、ManagementClientおよびWebServicesです。ResetClientおよびWebServices Webアプリケーションでは、権限が制限されたドメイン・ユーザー・アカウント(SSPRWeb)を作成し、そのアカウントをアプリケーション内のページにアクセスしてリポジトリ内のデータを変更できる、唯一のアカウントに指定する必要があります。
WebServicesアプリケーションのAdministration.aspxページに加え、EnrollmentClientおよびManagementClientアプリケーションは、Password Resetが有効なエンド・ユーザー・ワークステーションにログオン中のドメイン・ユーザー・アカウントがアクセスできるよう構成されています。 構成手順は『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。
SSLを使用するために、IIS内でPassword Reset Webアプリケーションを構成することを強くお薦めします。Password Reset用のSSLサポートを有効にするには、Password Reset Webアプリケーションが使用しているIIS Webサイト用のX.509 SSL証明書を作成し、インストールする必要があります。(証明書は、商業団体またはローカル・ターゲット・マシン上のソフトウェアである認証局(CA)が発行します。)次に、使用しているエンド・ユーザー・ワークステーションとPassword Reset Webアプリケーションへのセキュアな(HTTPS) URLを更新する必要があります。手順は『Enterprise Single Sign-On Suite管理者ガイド』に記載されています。
|
注意: 最大のセキュリティを維持するため、SSL機能を無効にしないことを強くお薦めします。 |
また、Password ResetはWindowsシステム・サービスであるSSPRChangePasswordSvc.exeを利用します。このサービスはバックグラウンドで動作し、各ユーザーがPassword Resetのチャレンジ質問を通過した後、ユーザーのパスワードの変更を実際に担当します。このサービスには、ユーザー・アカウントのパスワードを変更し、Active DirectoryのlockoutTimeおよびpwdLastSetの値を書き込むために必要な権限を持つ、権限を制限されたドメイン・アカウント(SSPRReset)が必要です。構成手順、およびこのアカウントに割り当てる必要がある適切な権限は、『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。
Password Resetは、ユーザー・データをサポートされているリポジトリに保存します。サポートされているリポジトリは、Active Directory、AD LDS (ADAM)、Oracle Internet Directory、Oracle Virtual DirectoryなどのLDAPディレクトリ、およびOracleおよびMicrosoft SQLデータベースです。インストール中、インストーラは組織単位(ディレクトリ・ベースのリポジトリ)またはデータベースと表(データベース・ベースのリポジトリ)を作成し、新規に作成されたコンテナまたはデータベース、およびそのすべてのコンテンツに対して、SSPRWebドメイン・アカウントのフル・アクセスを許可します。その他のアカウントは、管理者が自身の選択により明示的にアクセスを認めた場合を除いて、Password Resetコンテナまたはデータベースへのいかなるアクセス権も与えられません。
