Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この付録では、Access Managerでバンドルまたはエージェント登録中に生成されるアーティファクトの例を見ていきます。この付録の内容は次のとおりです。
この項では次のトピックを記載しています:
この10g OAMエージェントと付属アプリケーション・ドメイン(第20章を参照)は11.1.1.5で使用できます。これらの定義は変更しないことをお薦めします。
注意: 従来のIDMDomainAgentは、このパッチ・セットでは利用できません。パッチ・セットの適用後は、アーティファクトとして残ります。ただし、内容はすべて削除されます。 |
IAMSuiteAgentは、IDM管理コンソールにシングル・サインオン機能を提供します。IAMSuiteAgentは、OAMサーバーのインストールと構成の一部としてインストールされ、事前構成されています。
IAMSuiteAgentは、ドメイン全体のエージェントです。
一度デプロイされると、IAMSuiteAgentはドメイン内のすべてのサーバーにインストールされます。
無効にしないかぎり、WebLogicアプリケーション・サーバーに入ってくるすべてのリクエストは、IAMSuiteAgentによって評価および処理されます。
構成の詳細は、Oracle Access Managementコンソールの「10g Webゲート」ノード(「ポリシー構成」タブ)の下にあります。
特定のIAMSuiteAgent構成の要素はWebLogic管理コンソール(「セキュリティ・プロバイダ」セクション)に、その他の要素はOracle Access Managementコンソールにあります。
WebLogic管理コンソールの「セキュリティ・プロバイダ」セクションには、ブートストラップ構成パラメータが5つあります。
これらは変更せずに保持することをお薦めしますが、次のパラメータのいずれかを変更することが必要な場合があります。
プライマリ・アクセス・サーバー: この値は、実際のOAMサーバーの情報で置き換えることができます。複数のホストがIDMドメインの一部である場合は、デフォルト値(localhost:5575)を実際のOAMサーバーの情報で置き換えられます。IAMスイート・エージェントとその付属アプリケーション・ドメイン(IAMSuite)は、11.1.1.3.0 IDMドメイン・エージェントとその付属アプリケーション・ドメインを置換するものです。エージェント・パスワード: デフォルトではパスワードはありません。ただし、NetPoint (現在はOracle) Access Protocol (NAPまたはOAP)を介してOAMサーバーにIAMSuiteAgent接続するときのパスワードを確立する場合には、ここで追加できます。
図D-1は、IAMSuiteAgentのデフォルトの「セキュリティ・プロバイダ」の設定を示します。
IAMSuiteAgentの登録ページには、他のOAMエージェント登録ページと同様、エージェントに関する詳細が表示されます。
セキュリティ・モード: IAMSuiteAgentで使用できるセキュリティ・モードは「オープン」のみです。これは変更できません。
優先ホスト: IAMSuiteAgentはあらかじめ構成されたホストで、このエージェントで必要です。
注意: ここのアクセス・クライアント・パスワードは、WebLogic管理コンソールのエージェント・パスワードと一致する必要があります。エージェント・パスワードを変更した場合、アクセス・クライアント・パスワードも変更する必要があります。 |
図D-2に、IAMSuiteAgentのページを示します。「ユーザー定義パラメータ」は、WebLogic Serverのコンテナ・ポリシーにフォール・バックする動作を通知し、ログアウトのためのリダイレクトURLを作成します。
このエージェントは、第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」で説明するように、10g Webゲートで入れ替えることができます。
表D-1は、IAMSuiteAgent、11g Webgate、10g Webgateの3つの違いを示しています。
表D-1 IAMSuiteAgentの11gおよび10g Webgateとの比較
要素 | 11g Webgate | 10g Webgate | IAMSuiteAgent |
---|---|---|---|
プライマリCookieドメイン |
N/A |
x |
x |
トークンの有効期間 |
x |
N/A |
N/A |
優先ホスト |
x |
x |
x |
ログアウトURL |
x |
x |
x |
ログアウト・コールバックURL |
x |
N/A |
N/A |
ログアウト・リダイレクトURL |
x |
N/A |
N/A |
ログアウト・ターゲットURL |
x |
N/A |
N/A |
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー |
x x |
x x |
x x |
ユーザー定義パラメータ |
proxySSLHeaderVar=IS_SSL URLInUTF8Format=true client_request_retry_attempts=1 inactiveReconfigPeriod=10 |
proxySSLHeaderVar=IS_SSL URLInUTF8Format=true client_request_retry_attempts=1 inactiveReconfigPeriod=10 |
fallbackToContainerPolicy=true logoutRedirectUrl=http://hostname.domain.com:14100/oam/server/logout protectWebXmlSecuredPagesOnly=true |
保護されていない場合に拒否 |
x |
x |
x |
図D-3は、IAMSuiteAgentによって保護されるリソースと、正確な認証ポリシーおよび認可ポリシーを示しています。追加や変更は一切行わないことをお薦めします。WebLogic管理コンソール(/console)は保護されています。
次の図は、IAM Suiteアプリケーション・ドメインの認証ポリシーを示しています。
IAM Suite認可ポリシー
図D-8は、IAM Suiteアプリケーション・ドメインの認可ポリシーを示しています。デフォルトでは、明示的な条件やレスポンスは定義されません。しかし、環境に適していれば追加できます。
IAM Suiteトークン発行ポリシー
図D-9に、IAM Suiteアプリケーション・ドメインのIAM Suiteトークン発行ポリシーを示します。デフォルトでは、明示的な条件は定義されていません。しかし、環境で要求されるものは定義できます。
この項では、カスタム認証モジュール、ホスト識別子、アプリケーション・ドメイン、およびOpenSSOエージェント・プロビジョニング中に生成されるポリシーを示します。
図D-10は、OpenSSOAgentカスタム認証モジュール: OpenSSOAgentAuthPluginを示します。