ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11gリリース2 (11.1.2.2) for All Platforms
B69533-09
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

15 エージェントおよび登録の概要

エージェント(シングル・サインオン・エージェントまたはポリシー強制エージェントとも呼ばれます)は、アクセス・クライアントとして機能する任意のフロントエンドのエンティティであり、エンタープライズ・アプリケーション全体でシングル・サインオンを可能にします。個々のエージェントは、エージェントとOAMサーバー間で必要な信頼を設定するためにAccess Manager 11gに登録する必要があります。登録されたエージェントは、認証タスクをOAMサーバーに委任します。

この章の各項では、エージェントの概要、エージェントの登録と管理、処理およびツールについて説明します。次のトピックが含まれます:

15.1 ポリシーの強制エージェントの概要

エージェントとは、アプリケーションが存在するWebサーバー(Oracle HTTP Serverなど)にインストールできる、ソフトウェア・プラグインです。保護されたリソースへのアクセスを保護するには、Webサーバーやアプリケーション・サーバー、サードパーティ製のアプリケーションを、Access Managerに登録されたエージェントに関連付ける必要があります。複数のリソースのアクセス時のユーザーの再認証を省略するには、アプリケーションが、シングル・サインオン(SSO)プロバイダであるAccess Managerに、認証機能を委任する必要があります。

エージェントの登録時に、アプリケーションを自動的に登録して、基本ポリシーを自動的に生成できます。また、エージェントの登録時の自動ポリシー生成をオフにして、手動でポリシーを作成することもできます。

登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。

この項では、Access Managerのエージェントのタイプについて説明します。

15.1.1 エージェント・タイプおよびランタイム処理について

Access Manager 11.1.2では、各エージェントがリクエストのフィルタとして機能します。デプロイメントには、表15-1で説明するエージェント・タイプを、任意の組合せで含めることができます。

表15-1 エージェント・タイプ

エージェント・タイプ 説明

OAMエージェント

: 特に明記しないかぎり、Webgateという用語とアクセス・クライアントという用語は同じ意味で使用されます。


OAMエージェントは、Oracle Access Managementのインストール後に、個別にインストールする必要があります。エージェントをAccess Managerに登録すると、そのエージェントは、登録済のOAMサーバーおよびAccess Managerサービスと直接通信します。OAMエージェントはOAMプロキシを使用してAccess Managerと通信し、リクエストを掃除して、すべてのエージェントに同じように応答します。次のOAMエージェント・タイプが使用できます。

  • Webgate: すぐに使用可能なWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOAMサーバーに転送します。各種のWebサーバー用のWebgateは、Access Managerに同梱されています。

    • 11g Webgate (第25章)の提供内容:


      プラットフォーム用のOracle Universal Installer
      ホストベースのCookie
      個別のWebgateのOAMAuthnCookie_<host:port
      許可ポリシーに対するリソース
      許可結果
      Webgate許可キャッシュ
      チューニング・パラメータに対する診断ページ
      外部資格証明としての役割を果たす機能

      関連項目:
      「Mobile and Social用の11g Webgateの機能について」
      「外部資格証明コレクタとして構成された11g Webgateについて」
      『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』

    • 10g Webgateの提供内容
      InstallShieldおよびプラットフォームごとに1つのインストーラ
      ドメインベースのCookie
      ObSSOCookie(すべての10g Webgateに1つ)
      Webサーバー構成

      関連項目: この表内の「事前登録済の10g IAMSuiteAgent」
    • 第25章

  • プログラムによるカスタム・アクセス・クライアント: Access Managerは、純粋なJavaソフトウェア開発キット(SDK)を提供しています。このSDKを使用して、カスタムのアクセス・クライアントや、Access Managerの認証および認可機能(およびカスタム・トークン)の拡張機能を作成します。アクセス・クライアントは、ユーザーやアプリケーションからのWebおよびWeb以外(非HTTP)のリソースに対するリクエストを処理します。詳細は、Oracle Fusion Middleware Oracle Access Management開発者ガイドを参照してください。

IAMSuiteAgent

事前登録済のOAM 10gエージェント

この事前登録された10gエージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントには、付属のアプリケーション・ドメイン(IAMSuite)と、変更することのできない基本ポリシーが含まれています。

関連項目: 「事前登録済の10g Webgate IAMSuiteAgentについて」

レガシーOSSOエージェント

mod_ossoは、中央のOSSOサーバーでユーザーを認証するOracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。

Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信します。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。

Access Managerは、リソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザー用のリダイレクトURLを渡します。

関連項目: 第24章「レガシーOSSOエージェントの登録および管理」および次の各項。

レガシーOpenSSOエージェント

Javaエージェントは、OpenSSOサーバーと連動するようにJ2EEコンテナにデプロイします。Webエージェントは、任意のWebコンテナまたはサーブレット・コンテナにデプロイできます。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。

Access Managerは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。


適用範囲はホストベースまたはドメインベースになります
OpenSSOエージェント・キーはローカルに格納されます(エージェント・ブートストラップ・ファイル、エージェント・ホスト)

関連項目: 第23章「レガシーOpenSSOエージェントの登録および管理」


表15-2に、エージェントの登録、構成、管理およびシングル・サインオンをサポートするAccess Managerの機能を示します。各項目のリンク先には、詳細が記載されています。

表15-2 エージェントの登録とSSOサポート


Oracleの提供内容 説明

Oracle Access Managementコンソール


エージェントの登録、構成、管理。

関連項目: 「コンソールを使用したOAMエージェントの登録」


oamregツール

リモートによるエージェントの登録と管理

関連項目: 「リモート登録ツールの取得および設定」


SSO実装

Access Managerは、様々なSSOシナリオをサポートします。

関連項目: 「Access Managerシングル・サインオンの概要」


インターネット上での情報交換の保護に使用されるプロトコル。

これは、選択した資格証明コレクタに応じて変化します。

関連項目: 表19-5「DCCとECCの比較」


ログイン・フォームとログアウト・フォーム

ログイン・フォームとログアウト・フォームの場所は、資格証明コレクタに応じて変化します。

関連項目: 表19-5「DCCとECCの比較」および第22章


暗号化キー

登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成および使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。

関連項目: 表1-2「Access Manager 11.1.2の機能」


キー・ストレージ

  • エージェント側: エージェントごとのキーは、ウォレット・ファイルのOracle Secret Storeにローカルに格納されます。

  • OAMサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。


OAMエージェントの実行時の処理

表15-3に、OAMエージェントの実行時の処理についての情報を示します。

表15-3 Access Managerの実行時の処理の概要

エージェント・タイプ 説明

11g Webgate

11gアクセス・クライアント

インストールと登録が終わった後、11g WebgateはOAMプロキシを使用してAccess Managerと通信し、リクエストを"掃除"して、すべてのエージェントに同じように応答します。

プロセス概要、OAMAuthnCookieなしの認証リクエスト: 基本認証スキームによって保護されたリソースに対するリクエストを認証ヘッダー(資格証明)なしで受信した場合

  1. Webgateがフロント・チャネルを介し、(スキーム構成に基づいて)埋込みまたはデタッチされた資格証明コレクタにリダイレクトして、資格証明を収集します。

  2. 資格証明コレクタは、認証スキームに対して定義されたチャレンジ・メソッドに基づいてユーザーの資格証明を収集します。

  3. ユーザーが認証されると、OAMプロキシ(埋込みコレクタ)またはデタッチされたコレクタそのもの(DCC)が、トークン用のバック・チャネル・プロトコルを通じてOAMサーバーと通信し、そのOAMサーバーが発行したトークンを使用して、フロント・チャネルを通じてレスポンスを返します。

  4. Webgateは、このレスポンスを検証し、OAMサーバーが発行した認証トークンを抽出して、OAMAuthnCookieにトークンを設定します。

  5. 新しく設定したOAMAuthnCookieがアタッチされた状態で、Webgateがリクエストされたリソースにリダイレクトされます。

  6. WebgateがOAMAuthnCookieを検証し、バック・チャネルを介して認証を実行して、認証に成功したらページを提示します。

プロセス概要、基本認証: 基本認証スキームによって保護されたリソースに対するリクエストを認証ヘッダー(資格証明)なしで受信した場合

  1. WebgateがWWW-Authenticateヘッダーを使用して応答します。ここには、認証スキームにステータス・コード401(認可が必要)を使用して記述されているレルムが格納されています。

  2. ブラウザ・クライアントがWWW-Authenticateヘッダーを解釈し、ユーザーから資格情報を収集します。

  3. ブラウザ・クライアントが資格証明を含む認証ヘッダーを使用して、リクエストを再実行します。

関連項目:

「外部資格証明コレクタとして構成された11g Webgateについて」

「Mobile and Social用の11g Webgate機能について」

10g Webgate

10gアクセス・クライアント

インストールおよび登録の後、10g Webgateはブリッジとして機能するOAMプロキシを通じてAccess Managerと直接通信します。

関連項目:

  • このエージェントおよびアプリケーション・ドメインの詳細は、「IAMSuiteAgent」を参照してください。

  • レガシー10g WebゲートのAccess Manageへの登録方法の詳細は、第25章を参照してください。

  • Oracle ADFセキュリティとOPSS SSOフレームワーク用にコードが記述されたWebアプリケーションと現在ともに動作しているレガシー10g Webgateの詳細は、付録を参照してください。

  • Access Manager 11g (またはOracle Access Manager 10g)によるWebLogicコンテナベースのセキュリティを使用するアプリケーション向けに、SSO用のIDアサーション・プロバイダ(IAP)として構成されたレガシー10g Webgateの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。

OpenSSOエージェント

関連項目: 「OpenSSOエージェントとAccess Manager間の実行時の処理」

OSSOエージェント(mod_osso 10g)

関連項目: 「Access Manager使用時のOSSOエージェントの理解」


15.1.2 外部資格証明コレクタとして構成された11g Webgateについて

Oracle Access Manager 11.1.1では、埋込み資格情報コレクタ(IECC)がデフォルトです。ECCは、以前からOAMサーバーに統合されています。

Access Manager 11.1.2も、デフォルトでECCをサポートしています。ただし、Access Manager 11.1.2では、外部資格証明コレクタ(DCC)として使用するように、11g Webgateを構成することもできます。

外部資格証明コレクタ(DCC)として機能するように構成された11g Webgateは、認証Webgateと呼ばれます。リソースを保護するWebgateは、リソースWebgateと呼ばれます。

DCCは、デフォルトの埋込み資格証明コレクタ(ECC)よりも安全性が高いと考えられます。

15.1.3 Mobile and Social用の11g Webgate機能について

Webgateは、認証および認可を行うためにクライアントと相互作用します。この相互作用には、リダイレクションによる資格証明の収集、Cookieの設定によるセッション保持、エラーの報告などが含まれます。Webgateはブラウザ・クライアントと連動します。ブラウザ・クライアントは通常、このエンドツーエンドの相互作用に必要なすべての機能をサポートしています。ただし、非ブラウザ/RESTクライアントがリソースにアクセスして認証および認可を実行する必要が生じる場合があります。

Mobile and Socialサポートは、Webgateエージェント登録ページにある2つのユーザー定義のパラメータを使用して有効にします。Mobile and Socialサービスは、Access Managerを使用したプログラムによる非ブラウザ・クライアントを使用します。


関連項目:


15.1.4 事前登録済の10g Webgate IAMSuiteAgentについて

この10g Webgateとコンパニオン・アプリケーション・ドメインは、IDM管理コンソールにシングル・サインオン機能を提供します。IAMSuiteAgentは、OAMサーバーのインストールと構成の一部としてインストールされて事前構成されます。

IAMSuiteAgentとコンパニオン・アプリケーション・ドメインは変更しないでください。ただし、IAMSuiteAgentを新しい10g Webgateに置き換えることはできます。

15.2 エージェント登録の概要

Oracle Access Managementコンソールまたはリモート登録ツールを使用して、エージェントの登録および更新を実行できます。特に明記しないかぎり、この項の情報は、Oracle Access Managementコンソールまたはリモート登録ツールのいずれかを使用したエージェント登録に適用されます。

この項では次の情報を提供します:

15.2.1 エージェントの登録、キーおよびポリシーについて

登録されたエージェントのみがOAMサーバーと通信でき、保護されたリソースにユーザーがアクセスを試みるときに情報を処理します。エージェント登録時に、ポリシーを作成して、アプリケーションをエージェント登録時に保護できます。

管理者は、運用する各エージェントをAccess Managerに登録する必要があります。このエージェントは、保護対象のアプリケーションをホストするコンピュータ上に存在すると考えられます。ただし、エージェントはプロキシWebサーバー上や、別のホスト上のアプリケーションに存在する場合もあります。

エージェント・キーとパートナ・キーは登録時に作成されます。エージェント登録時にポリシーを自動作成するよう選択した場合、ホスト識別子とアプリケーション・ドメインは、基本ポリシーとリソース定義を使用して作成されます。アプリケーション・ドメインとポリシーは、後から表示および管理できます。


注意:

次に示すように、同じアプリケーション・ドメインとポリシーを使用して、1つのホスト識別子の下に複数のWebgateまたはアクセス・クライアントを登録できます。
  1. Webgateを登録するときに、ホスト識別子(ユーザーが名前を選択)を作成し、「ポリシーの自動作成」を有効にすることができます。

  2. 手順1と同じホスト識別子を使用して2つ目のWebgateを登録し、「ポリシーの自動作成」ボックスの選択を解除してポリシーが作成されないようにします。


コンソールとリモート登録のどちらを使用していても、登録が成功すると、Oracle Access Managementコンソールに完全なエージェント登録が表示されるようになり、それがクラスタ内の管理対象サーバーに伝播されます。表15-4は、エージェント登録時に生成されるキーとポリシーを示しています。

表15-4 エージェント登録時に生成されるキーとポリシー

キーおよびポリシー 可能なアクセス先 可能なアクセス経路

11g Webgateエージェントごとに1つのキー

すべての10gエージェントに1つのキー

ローカル・エージェントのブートストラップ・ファイルに格納されているOpenSSOエージェントごとに1つのキー

OSSOエージェントごとに1つのキー

関連項目: 「キーの使用、生成、プロビジョニング、およびストレージについて」

  • OAMサーバー

  • クライアント側: クライアント・ホスト上の保護されたローカル・ストレージ(ローカルのウォレット・ファイル)

  • サーバー側: Javaキーストア

アプリケーションのパートナ・キー

(OpenSSOエージェントには存在しません)

  • 11g Webgate

クライアント側

アプリケーション・ドメインとデフォルト・ポリシーは、エージェントの登録時に必要に応じて生成されます。

  • エージェントの名前

  • デフォルトの認証および認可ポリシー(ただしトークン発行ポリシーではない)を使用して伝播されます。

  • 登録時にエージェントに対して指定されたものと同じホスト識別子を使用して識別されます。

  • 管理者は、Oracle Access ManagementコンソールまたはカスタムのAccess Manager用WLSTコマンドを使用して、登録されたエージェントの表示、変更および削除が可能です。

  • 実行時にすべてのエージェント・タイプは、Webサイトにアクセスする試みをモニターし、リクエストを完了する前にOAMサーバーを使用して認証および認可サービスを提供します。


Oracle Access Managementコンソール
ポリシー構成
アプリケーション・ドメイン
ドメイン名


15.2.2 ファイル・システム変更および登録されたエージェントのアーティファクトについて

Oracle Access Managementコンソールを使用してエージェントを登録すると、Oracle Access Managementコンソール・ホストに、エージェントのためのファイル・システム・ディレクトリが新規作成されます。

この新しいディレクトリには、表15-5に示すように、登録済エージェント用に生成されたファイルが格納されます。

表15-5 エージェント登録に関連付けられるアーティファクト

登録アーティファクト 生成対象

すべてのWebgateまたはアクセス・クライアント

ObAccessClient.xml

コンソール・ホスト(AdminServer)上のすべてのWebgate/アクセス・クライアント

実行時に定期的な更新確認が行われます。変更が検出されると、ObAccessClientが自動的に更新されます。

注意: 事前登録された10g IAMSuiteAgentは、ブートストラップや構成にObAccessClient.xmlを使用しません。

関連項目: この表のクライアント上で生成されるプロパティ・ファイル。

cwallet.sso

11g Webgateのみ

トランスポート・セキュリティ・モードに関係なく、11g Webgate。

安全な通信のための証明書とパスワード

すべてのWebgate/アクセス・クライアント例:

  • password.xml(簡易モードのグローバル・パスフレーズ用に最小限に暗号化されたファイル)

  • aaa_cert.pem (Webgate証明書ファイルの予約名。変更できません)

  • aaa_key.pem (Webgateキー・ファイルの予約名。変更できません)

証明書モード:

  • PEMキーストア別名

  • PEMキーストア別名パスワード

: 11g Webgateの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。

関連項目: 簡易および証明書モードのトランスポート・セキュリティの詳細は、第14章を参照してください。

OpenSSOプロパティ・ファイル

関連項目: 第23章「レガシーOpenSSOエージェントの登録および管理」

osso.confファイル

関連項目: 第24章「レガシーOSSOエージェントの登録および管理」


生成または更新されたアーティファクトは、コンソール・ホスト(AdminServer)からエージェントのインストール・ディレクトリにコピーする必要があります(表15-6を参照)。

表15-6 生成されたアーティファクトのコピー

エージェント・タイプとアーティファクト 生成されたアーティファクトをエージェントのインストール・ディレクトリにコピー

ObAccessClient.xml

(および11g Webgateのcwallet.sso)

11g Webgateまたはアクセス・クライアント

エージェントの起動前に、ObAccessClientファイル(およびcwallet.sso)を、生成された場所(AdminServer (コンソール)ホスト)からエージェントのインストール・ディレクトリにコピーします。

関連項目: 第16章「OAM 11gエージェントの登録および管理」

ObAccessClient.xml

10g Webgateまたはアクセス・クライアント

エージェントの起動前に、ObAccessClient.xmlを、生成された場所からエージェントのインストール・ディレクトリにコピーします。たとえば、次のAdminServer (コンソール)ホストからコピーします:

: 事前登録済のIAMSuiteAgentは、ObAccessClient.xmlを使用しないため、変更する必要はありません。

関連項目: 第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」

OpenSSOエージェントのプロパティ・ファイル

関連項目: 第23章「レガシーOpenSSOエージェントの登録および管理」

10g OSSOエージェントのosso.conf

関連項目: 第24章「レガシーOSSOエージェントの登録および管理」


15.3 リモート登録の概要

エージェントの登録にコンソールを使用する以外の方法として、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。リモート登録スクリプトのユーザーは、Access Managerのプライマリ・ユーザー・アイデンティティ・ストア内の管理者のロールに対してマップされるグループに含めることができます(第5章を参照)。

アプリケーション・ドメインのセキュアな登録と作成(および対称鍵の生成)は、表15-7で説明するどちらのリモート登録モードを使用する場合でもサポートされます。

表15-7 リモート登録の方法

方法 説明

帯域内モード

エージェントをホストするWebサーバーを管理するネットワーク内の管理者は、このモードまたはOracle Access Managementコンソールを使用できます。

帯域外モード

ネットワーク外の管理者は、登録リクエストをネットワーク内の管理者に送信する必要があります。リクエストを処理した後、帯域内の管理者は、ファイルを使用して環境を構成する帯域外の管理者に必要なファイルを戻します。


アプリケーションごとの対称鍵の生成: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成されて使用されます。ただし、すべての10g Webgateに対して生成されるキーは1つのみです。


注意:

また、レガシー・エージェント(10g Webgate、OpenSSOおよびOSSO 10g)の登録もサポートされています。

表15-8では、サポートされていない機能について説明しています。

表15-8 リモート登録でサポートされない機能

リモート登録でサポートされない機能

キーおよびエージェント情報の永続性

内部コンポーネントで使用されるキーの生成

エージェント情報を読み取るAPIサポート


詳細は、第16章の次の各項を参照してください。

15.3.1 帯域内リモート登録の実行について

次に、リモート登録ツールを使用してアプリケーションをプロビジョニングする際に、帯域内のWebサーバーの管理者が実行するタスクの概要を示します。特に明記しないかぎり、保護するリソースのあるエージェントのタイプに関係なく、タスクの内容は同じです。

この概要の「管理者」という用語は、Oracle Access Managementに登録されるデフォルト・システム・ユーザーのアイデンティティ・ストアの管理者に指定されるLDAPグループの一部であるネットワーク内のユーザーを示します。

タスクの概要: リモート登録を実行する帯域内の管理者

  1. 「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。

  2. エージェントおよびアプリケーション・ドメインに合せて入力ファイルを一意の値で更新します(「リモート登録リクエストの作成」を参照してください)。

  3. 登録ツールを実行してエージェントを構成し、リソースのデフォルトのアプリケーション・ドメインを作成します(「帯域内リモート登録の実行」を参照してください)。

  4. 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。

  5. アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。

15.3.2 帯域外リモート登録の実行について

帯域外登録という用語は、帯域内および帯域外の管理者の両方の調整およびアクションを含む手動登録を示します。

タスクの概要: 帯域外リモート登録(ネットワーク外のエージェント)

  1. 帯域外の管理者の手順: 特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。

    • 「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。

    • テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインに一意の値を入力します(「リモート登録リクエストの作成」を参照してください)。

    • 選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。

  2. 帯域内の管理者の手順:

    • 「登録ツールの取得および設定」の説明に従って、登録ツールを取得します。

    • 登録ツールで帯域外の開始リクエストを使用してエージェントをプロビジョニングし、次のファイルを作成して帯域外の管理者に戻します。詳細は、「帯域外リモート登録の実行」を参照してください。

      • agentName_Response.xmlは帯域外の管理者用に生成され、手順3で使用されます。

      • OAMエージェント: 変更されたObAccessClient.xmlファイル(および11g Webgateのcwallet.ssoファイル)が作成されます。このファイルは、帯域外の管理者がWebgateをブートストラップするために使用できます。

        11g Webgate: SSOウォレットの作成。

      • OSSOエージェント: OSSOモジュールをブートストラップする帯域外の管理者用に変更されたosso.confファイルが作成されます。

      • OpenSSOエージェント: 変更されたバージョンのOpenSSOプロパティ・ファイルが生成されます。

  3. 帯域外の管理者の手順: agentName_Response.xmlファイルと一緒に登録ツールを使用し、エージェント構成および他の生成されたアーティファクトを適切なファイル・システム・ディレクトリにコピーします。


    注意:

    outofbandモードで、帯域内の管理者は帯域外の管理者が送信した開始リクエスト・ファイルを使用し、追加処理のために生成されたagentName_Response.xmlファイルを帯域外の管理者に戻します。帯域外の管理者は、エージェント構成ファイルを生成する入力としてagentName_Response.xmlと一緒にリモート登録ツールを実行します。

  4. 帯域内の管理者: 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。

  5. 帯域外の管理者の手順: いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証、リソース保護およびアクセスの検証」を参照してください)。

15.3.3 更新されたエージェント構成ファイルについて

登録(または更新)に成功したら、AdminServer (コンソール)ホスト上でエージェント構成ファイルを検索し、表15-9の説明に従って、これらをエージェント・ホストにコピーする必要があります。

表15-9 エージェント登録および構成の更新アーティファクト

対象となるアーティファクト 説明

簡易または証明書モード

簡易または証明書モードを使用する場合、登録後、証明書アーティファクトもエージェント・ホストにコピーする必要があります。

関連項目: 付録C「通信の保護」

11g OAMエージェント(Webgate/アクセス・クライアント)

関連項目: 第16章「OAM 11gエージェントの登録および管理」

10g OAMエージェント(Webgate/アクセス・クライアント)

関連項目: 第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」

OSSOエージェント

関連項目: 第24章「レガシーOSSOエージェントの登録および管理」

OpenSSOエージェント

関連項目: 第23章「レガシーOpenSSOエージェントの登録および管理」