Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
エージェント(シングル・サインオン・エージェントまたはポリシー強制エージェントとも呼ばれます)は、アクセス・クライアントとして機能する任意のフロントエンドのエンティティであり、エンタープライズ・アプリケーション全体でシングル・サインオンを可能にします。個々のエージェントは、エージェントとOAMサーバー間で必要な信頼を設定するためにAccess Manager 11gに登録する必要があります。登録されたエージェントは、認証タスクをOAMサーバーに委任します。
この章の各項では、エージェントの概要、エージェントの登録と管理、処理およびツールについて説明します。次のトピックが含まれます:
エージェントとは、アプリケーションが存在するWebサーバー(Oracle HTTP Serverなど)にインストールできる、ソフトウェア・プラグインです。保護されたリソースへのアクセスを保護するには、Webサーバーやアプリケーション・サーバー、サードパーティ製のアプリケーションを、Access Managerに登録されたエージェントに関連付ける必要があります。複数のリソースのアクセス時のユーザーの再認証を省略するには、アプリケーションが、シングル・サインオン(SSO)プロバイダであるAccess Managerに、認証機能を委任する必要があります。
エージェントの登録時に、アプリケーションを自動的に登録して、基本ポリシーを自動的に生成できます。また、エージェントの登録時の自動ポリシー生成をオフにして、手動でポリシーを作成することもできます。
登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。
この項では、Access Managerのエージェントのタイプについて説明します。
Access Manager 11.1.2では、各エージェントがリクエストのフィルタとして機能します。デプロイメントには、表15-1で説明するエージェント・タイプを、任意の組合せで含めることができます。
表15-1 エージェント・タイプ
エージェント・タイプ | 説明 |
---|---|
OAMエージェント 注: 特に明記しないかぎり、Webgateという用語とアクセス・クライアントという用語は同じ意味で使用されます。 |
OAMエージェントは、Oracle Access Managementのインストール後に、個別にインストールする必要があります。エージェントをAccess Managerに登録すると、そのエージェントは、登録済のOAMサーバーおよびAccess Managerサービスと直接通信します。OAMエージェントはOAMプロキシを使用してAccess Managerと通信し、リクエストを掃除して、すべてのエージェントに同じように応答します。次のOAMエージェント・タイプが使用できます。
|
IAMSuiteAgent 事前登録済のOAM 10gエージェント |
この事前登録された10gエージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントには、付属のアプリケーション・ドメイン(IAMSuite)と、変更することのできない基本ポリシーが含まれています。 |
レガシーOSSOエージェント |
mod_ossoは、中央のOSSOサーバーでユーザーを認証するOracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。 Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信します。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。 Access Managerは、リソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザー用のリダイレクトURLを渡します。 関連項目: 第24章「レガシーOSSOエージェントの登録および管理」および次の各項。 |
レガシーOpenSSOエージェント |
Javaエージェントは、OpenSSOサーバーと連動するようにJ2EEコンテナにデプロイします。Webエージェントは、任意のWebコンテナまたはサーブレット・コンテナにデプロイできます。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。 Access Managerは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。 適用範囲はホストベースまたはドメインベースになります OpenSSOエージェント・キーはローカルに格納されます(エージェント・ブートストラップ・ファイル、エージェント・ホスト) |
表15-2に、エージェントの登録、構成、管理およびシングル・サインオンをサポートするAccess Managerの機能を示します。各項目のリンク先には、詳細が記載されています。
表15-2 エージェントの登録とSSOサポート
Oracleの提供内容 | 説明 | |
---|---|---|
Oracle Access Managementコンソール |
エージェントの登録、構成、管理。 関連項目: 「コンソールを使用したOAMエージェントの登録」 |
|
oamregツール |
リモートによるエージェントの登録と管理 関連項目: 「リモート登録ツールの取得および設定」 |
|
SSO実装 |
Access Managerは、様々なSSOシナリオをサポートします。 |
|
インターネット上での情報交換の保護に使用されるプロトコル。 |
これは、選択した資格証明コレクタに応じて変化します。 関連項目: 表19-5「DCCとECCの比較」 |
|
ログイン・フォームとログアウト・フォーム |
ログイン・フォームとログアウト・フォームの場所は、資格証明コレクタに応じて変化します。 関連項目: 表19-5「DCCとECCの比較」および第22章 |
|
暗号化キー |
登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成および使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 |
|
キー・ストレージ |
|
OAMエージェントの実行時の処理
表15-3に、OAMエージェントの実行時の処理についての情報を示します。
表15-3 Access Managerの実行時の処理の概要
エージェント・タイプ | 説明 |
---|---|
11g Webgate 11gアクセス・クライアント |
インストールと登録が終わった後、11g WebgateはOAMプロキシを使用してAccess Managerと通信し、リクエストを"掃除"して、すべてのエージェントに同じように応答します。 プロセス概要、OAMAuthnCookieなしの認証リクエスト: 基本認証スキームによって保護されたリソースに対するリクエストを認証ヘッダー(資格証明)なしで受信した場合
プロセス概要、基本認証: 基本認証スキームによって保護されたリソースに対するリクエストを認証ヘッダー(資格証明)なしで受信した場合
関連項目: |
10g Webgate 10gアクセス・クライアント |
インストールおよび登録の後、10g Webgateはブリッジとして機能するOAMプロキシを通じてAccess Managerと直接通信します。 関連項目:
|
OpenSSOエージェント |
|
OSSOエージェント(mod_osso 10g) |
Oracle Access Manager 11.1.1では、埋込み資格情報コレクタ(IECC)がデフォルトです。ECCは、以前からOAMサーバーに統合されています。
Access Manager 11.1.2も、デフォルトでECCをサポートしています。ただし、Access Manager 11.1.2では、外部資格証明コレクタ(DCC)として使用するように、11g Webgateを構成することもできます。
外部資格証明コレクタ(DCC)として機能するように構成された11g Webgateは、認証Webgateと呼ばれます。リソースを保護するWebgateは、リソースWebgateと呼ばれます。
DCCは、デフォルトの埋込み資格証明コレクタ(ECC)よりも安全性が高いと考えられます。
Webgateは、認証および認可を行うためにクライアントと相互作用します。この相互作用には、リダイレクションによる資格証明の収集、Cookieの設定によるセッション保持、エラーの報告などが含まれます。Webgateはブラウザ・クライアントと連動します。ブラウザ・クライアントは通常、このエンドツーエンドの相互作用に必要なすべての機能をサポートしています。ただし、非ブラウザ/RESTクライアントがリソースにアクセスして認証および認可を実行する必要が生じる場合があります。
Mobile and Socialサポートは、Webgateエージェント登録ページにある2つのユーザー定義のパラメータを使用して有効にします。Mobile and Socialサービスは、Access Managerを使用したプログラムによる非ブラウザ・クライアントを使用します。
関連項目:
|
この10g Webgateとコンパニオン・アプリケーション・ドメインは、IDM管理コンソールにシングル・サインオン機能を提供します。IAMSuiteAgentは、OAMサーバーのインストールと構成の一部としてインストールされて事前構成されます。
IAMSuiteAgentとコンパニオン・アプリケーション・ドメインは変更しないでください。ただし、IAMSuiteAgentを新しい10g Webgateに置き換えることはできます。
Oracle Access Managementコンソールまたはリモート登録ツールを使用して、エージェントの登録および更新を実行できます。特に明記しないかぎり、この項の情報は、Oracle Access Managementコンソールまたはリモート登録ツールのいずれかを使用したエージェント登録に適用されます。
この項では次の情報を提供します:
登録されたエージェントのみがOAMサーバーと通信でき、保護されたリソースにユーザーがアクセスを試みるときに情報を処理します。エージェント登録時に、ポリシーを作成して、アプリケーションをエージェント登録時に保護できます。
管理者は、運用する各エージェントをAccess Managerに登録する必要があります。このエージェントは、保護対象のアプリケーションをホストするコンピュータ上に存在すると考えられます。ただし、エージェントはプロキシWebサーバー上や、別のホスト上のアプリケーションに存在する場合もあります。
エージェント・キーとパートナ・キーは登録時に作成されます。エージェント登録時にポリシーを自動作成するよう選択した場合、ホスト識別子とアプリケーション・ドメインは、基本ポリシーとリソース定義を使用して作成されます。アプリケーション・ドメインとポリシーは、後から表示および管理できます。
注意: 次に示すように、同じアプリケーション・ドメインとポリシーを使用して、1つのホスト識別子の下に複数のWebgateまたはアクセス・クライアントを登録できます。
|
コンソールとリモート登録のどちらを使用していても、登録が成功すると、Oracle Access Managementコンソールに完全なエージェント登録が表示されるようになり、それがクラスタ内の管理対象サーバーに伝播されます。表15-4は、エージェント登録時に生成されるキーとポリシーを示しています。
表15-4 エージェント登録時に生成されるキーとポリシー
キーおよびポリシー | 可能なアクセス先 | 可能なアクセス経路 |
---|---|---|
11g Webgateエージェントごとに1つのキー すべての10gエージェントに1つのキー ローカル・エージェントのブートストラップ・ファイルに格納されているOpenSSOエージェントごとに1つのキー OSSOエージェントごとに1つのキー |
|
|
アプリケーションのパートナ・キー (OpenSSOエージェントには存在しません) |
|
クライアント側 |
アプリケーション・ドメインとデフォルト・ポリシーは、エージェントの登録時に必要に応じて生成されます。
|
|
Oracle Access Managementコンソール ポリシー構成 アプリケーション・ドメイン ドメイン名 |
Oracle Access Managementコンソールを使用してエージェントを登録すると、Oracle Access Managementコンソール・ホストに、エージェントのためのファイル・システム・ディレクトリが新規作成されます。
この新しいディレクトリには、表15-5に示すように、登録済エージェント用に生成されたファイルが格納されます。
表15-5 エージェント登録に関連付けられるアーティファクト
登録アーティファクト | 生成対象 |
---|---|
すべてのWebgateまたはアクセス・クライアント ObAccessClient.xml |
コンソール・ホスト(AdminServer)上のすべてのWebgate/アクセス・クライアント 実行時に定期的な更新確認が行われます。変更が検出されると、ObAccessClientが自動的に更新されます。 注意: 事前登録された10g IAMSuiteAgentは、ブートストラップや構成にObAccessClient.xmlを使用しません。 関連項目: この表のクライアント上で生成されるプロパティ・ファイル。 |
cwallet.sso 11g Webgateのみ |
トランスポート・セキュリティ・モードに関係なく、11g Webgate。 |
安全な通信のための証明書とパスワード |
すべてのWebgate/アクセス・クライアント例:
証明書モード:
注: 11g Webgateの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。 関連項目: 簡易および証明書モードのトランスポート・セキュリティの詳細は、第14章を参照してください。 |
OpenSSOプロパティ・ファイル |
|
osso.confファイル |
生成または更新されたアーティファクトは、コンソール・ホスト(AdminServer)からエージェントのインストール・ディレクトリにコピーする必要があります(表15-6を参照)。
表15-6 生成されたアーティファクトのコピー
エージェント・タイプとアーティファクト | 生成されたアーティファクトをエージェントのインストール・ディレクトリにコピー |
---|---|
ObAccessClient.xml (および11g Webgateのcwallet.sso) 11g Webgateまたはアクセス・クライアント |
エージェントの起動前に、ObAccessClientファイル(およびcwallet.sso)を、生成された場所(AdminServer (コンソール)ホスト)からエージェントのインストール・ディレクトリにコピーします。 |
ObAccessClient.xml 10g Webgateまたはアクセス・クライアント |
エージェントの起動前に、ObAccessClient.xmlを、生成された場所からエージェントのインストール・ディレクトリにコピーします。たとえば、次のAdminServer (コンソール)ホストからコピーします: 注: 事前登録済のIAMSuiteAgentは、ObAccessClient.xmlを使用しないため、変更する必要はありません。 |
OpenSSOエージェントのプロパティ・ファイル |
|
10g OSSOエージェントのosso.conf |
エージェントの登録にコンソールを使用する以外の方法として、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。リモート登録スクリプトのユーザーは、Access Managerのプライマリ・ユーザー・アイデンティティ・ストア内の管理者のロールに対してマップされるグループに含めることができます(第5章を参照)。
アプリケーション・ドメインのセキュアな登録と作成(および対称鍵の生成)は、表15-7で説明するどちらのリモート登録モードを使用する場合でもサポートされます。
表15-7 リモート登録の方法
方法 | 説明 |
---|---|
帯域内モード |
エージェントをホストするWebサーバーを管理するネットワーク内の管理者は、このモードまたはOracle Access Managementコンソールを使用できます。 |
帯域外モード |
ネットワーク外の管理者は、登録リクエストをネットワーク内の管理者に送信する必要があります。リクエストを処理した後、帯域内の管理者は、ファイルを使用して環境を構成する帯域外の管理者に必要なファイルを戻します。 |
アプリケーションごとの対称鍵の生成: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成されて使用されます。ただし、すべての10g Webgateに対して生成されるキーは1つのみです。
注意: また、レガシー・エージェント(10g Webgate、OpenSSOおよびOSSO 10g)の登録もサポートされています。 |
表15-8では、サポートされていない機能について説明しています。
表15-8 リモート登録でサポートされない機能
リモート登録でサポートされない機能 |
---|
キーおよびエージェント情報の永続性 |
内部コンポーネントで使用されるキーの生成 |
エージェント情報を読み取るAPIサポート |
詳細は、第16章の次の各項を参照してください。
次に、リモート登録ツールを使用してアプリケーションをプロビジョニングする際に、帯域内のWebサーバーの管理者が実行するタスクの概要を示します。特に明記しないかぎり、保護するリソースのあるエージェントのタイプに関係なく、タスクの内容は同じです。
この概要の「管理者」という用語は、Oracle Access Managementに登録されるデフォルト・システム・ユーザーのアイデンティティ・ストアの管理者に指定されるLDAPグループの一部であるネットワーク内のユーザーを示します。
タスクの概要: リモート登録を実行する帯域内の管理者
「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。
エージェントおよびアプリケーション・ドメインに合せて入力ファイルを一意の値で更新します(「リモート登録リクエストの作成」を参照してください)。
登録ツールを実行してエージェントを構成し、リソースのデフォルトのアプリケーション・ドメインを作成します(「帯域内リモート登録の実行」を参照してください)。
構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。
帯域外登録という用語は、帯域内および帯域外の管理者の両方の調整およびアクションを含む手動登録を示します。
タスクの概要: 帯域外リモート登録(ネットワーク外のエージェント)
帯域外の管理者の手順: 特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。
「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。
テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインに一意の値を入力します(「リモート登録リクエストの作成」を参照してください)。
選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。
帯域内の管理者の手順:
「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。
登録ツールで帯域外の開始リクエストを使用してエージェントをプロビジョニングし、次のファイルを作成して帯域外の管理者に戻します。詳細は、「帯域外リモート登録の実行」を参照してください。
agentName_Response.xmlは帯域外の管理者用に生成され、手順3で使用されます。
OAMエージェント: 変更されたObAccessClient.xmlファイル(および11g Webgateのcwallet.ssoファイル)が作成されます。このファイルは、帯域外の管理者がWebgateをブートストラップするために使用できます。
11g Webgate: SSOウォレットの作成。
OSSOエージェント: OSSOモジュールをブートストラップする帯域外の管理者用に変更されたosso.confファイルが作成されます。
OpenSSOエージェント: 変更されたバージョンのOpenSSOプロパティ・ファイルが生成されます。
帯域外の管理者の手順: agentName_Response.xmlファイルと一緒に登録ツールを使用し、エージェント構成および他の生成されたアーティファクトを適切なファイル・システム・ディレクトリにコピーします。
注意: outofband モードで、帯域内の管理者は帯域外の管理者が送信した開始リクエスト・ファイルを使用し、追加処理のために生成されたagentName_Response.xmlファイルを帯域外の管理者に戻します。帯域外の管理者は、エージェント構成ファイルを生成する入力としてagentName_Response.xmlと一緒にリモート登録ツールを実行します。 |
帯域内の管理者: 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
帯域外の管理者の手順: いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証、リソース保護およびアクセスの検証」を参照してください)。
登録(または更新)に成功したら、AdminServer (コンソール)ホスト上でエージェント構成ファイルを検索し、表15-9の説明に従って、これらをエージェント・ホストにコピーする必要があります。
表15-9 エージェント登録および構成の更新アーティファクト
対象となるアーティファクト | 説明 |
---|---|
簡易または証明書モード |
簡易または証明書モードを使用する場合、登録後、証明書アーティファクトもエージェント・ホストにコピーする必要があります。 関連項目: 付録C「通信の保護」 |
11g OAMエージェント(Webgate/アクセス・クライアント) |
|
10g OAMエージェント(Webgate/アクセス・クライアント) |
|
OSSOエージェント |
|
OpenSSOエージェント |