| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Oracle Access Managementに統合されたサービスで一般的に使用されるプロパティの構成方法を説明します。
この章には次の項が含まれます:
この項では、構成と総称されるOracle Access Managementのオプションと設定の概要を示します。特に明記しないかぎり、これらの構成オプションは、ドメイン内のすべてのAccess Managerサーバーおよびサービスによって共有されます。図3-1に、新しいOracle Access Managementコンソールで定義される構成オプションを示します。
表3-1で、構成オプションについて説明します。リストされているアイテムは、スイート内のすべてのサービスに適用されます。
表3-1 構成オプション
| ノード | 説明 |
|---|---|
|
使用可能なサービス |
関連項目: 「使用可能なサービスの有効化または無効化」 |
|
ユーザー・アイデンティティ・ストア |
|
|
管理 |
関連項目: 第4章「管理の委任」 |
|
証明書検証 |
証明書失効リストおよびOCSP/CDP設定にアクセスできます。 関連項目: 「証明書の検証および失効の管理」 |
|
サーバー・インスタンス |
すべての登録されているOAMサーバー・インスタンスにアクセスできます。 関連項目: 第6章「サーバー登録の管理」 |
|
共通設定 |
セッション・プロパティ、Oracle Coherence、監査、デフォルトのアイデンティティ・ストアとシステム・アイデンティティ・ストアなど、すべてのOracle Access Managementサービスに適用される構成を提供します。 関連項目: 「共通設定の管理」 |
|
Access Managerの設定 |
Access Manager操作構成へのアクセスを提供します。
|
|
Mobile and Social設定 |
Oracle Access Management Mobile and Socialの構成へのアクセスを提供します。 |
|
フェデレーション設定 |
Oracle Access Management Identity Federationの構成へのアクセスを提供します。 関連項目: 第5章「データ・ソースの管理」 |
|
Security Token Serviceの設定 |
Oracle Access Managementセキュリティ・トークン・サービスの構成へのアクセスを提供します。 |
|
アクセス・ポータル設定 |
Oracle Access Portalの構成へのアクセスを提供します。 |
図3-2は、「共通構成」セクションの「使用可能なサービス」ページを示しています。このページには、サービスの状態と、サービスの有効化または無効化を制御するコントロールが表示されています。最初は、「Access Manager」のサービスのみが有効になっています。Oracle Access Management管理者は、関連する機能を使用するために、Oracle Access Managementコンソールにログインしてサービスを有効化する必要があります。この例外は、アイデンティティ・コンテキストで、デフォルトで有効化され、無効化するコントロールがありません。
サービス名の横にある「ステータス」フィールドの緑のチェック・マークは、サービスが有効であることを示します。中に線がある赤の円は、該当するサービスが無効であることを示します。
表3-2 共通のサービス
| サービス | 説明 |
|---|---|
|
Access Manager |
「Access Manager」の機能はデフォルトで有効化されています。「Access Manager」サービスは、SSOポリシーの設定と、Access Manager、「共通構成」、およびRESTサービスを有効化するタイミングの構成を要求されます。 デフォルト: 有効 ほかにAccess Managerおよび共通構成に必要なサービスはありません。 |
|
アイデンティティ・フェデレーション |
フェデレーション・パートナを管理するには、有効化する必要があります。 デフォルト: 無効 注: Identity Federationがもう1つの認証モジュールであるためAccess Managerサービスも有効化する必要があります。 関連項目: 第VII部: Oracle Access ManagementのIdentity Federationの管理 |
|
セキュリティ・トークン・サービス |
このサービスを有効化すると、セキュリティ・トークン・サービスの機能を使用できます。 デフォルト: 無効 Access Managerサービスは必要ありません。 |
|
Mobile and Social |
モバイルおよびソーシャル・サービスは、次のいずれかの方法でデプロイできます。
|
|
アクセス・ポータル |
アクセス・ポータルを管理するには、有効にする必要があります。 デフォルト: 無効 関連項目: 第XI部「Oracle Access Management Oracle Access Portalの管理」 |
前提条件
WebLogic AdminServerが稼働している必要があります。
「新しいOracle Access Managementコンソールの使用」を参照してください。
サービスを有効化または無効化する手順
Oracle Access Managementコンソールの「起動パッド」で、「構成」の下の「使用可能なサービス」をクリックします。
目的のサービス名の横にある「有効化」をクリックします(または「ステータス」のチェック・マークが緑であることを確認します)。
目的のサービス名の横にある「無効化」をクリックします(または「ステータス」のチェック・マークが赤であることを確認します)。
共通設定は、すべてのOAMサーバー・インスタンスおよびサービスに適用されます。この項では次のトピックを記載しています:
共通設定は、スイート内のすべてのサービスに適用されます。図3-3は、「共通設定」ページの名前付きセクションを示し、これらを展開すると関連する要素および値を表示できます。
Oracle Access Management管理者は、表3-3で説明されているように、単一のサービスのみでなくスイート全体で使用されるパラメータを制御および指定できます。
表3-3 共通設定
| タブ名 | 説明 |
|---|---|
|
セッション |
セッション構成とは、セッションのライフサイクル要件を管理するプロセスと、グローバル・ログアウトを可能にするためのイベントの通知を指します。エンティティのセッションのログアウトでログアウトがすべてのエンティティに伝播していることを確認するには、OSSOエージェント(mod_osso)のグローバル・ログアウトが必要です。 関連項目: 「共通設定の管理」。 |
|
コヒーレンス |
すべてのOAMサーバーで共有される共通のOracle Coherence設定は、個々のOAMサーバーの設定とは異なります。ただし、どちらの場合でも、Oracleサポートの指示がないかぎりは、これらの設定を調整しないことをお薦めします。 関連項目: 「共通設定の管理」。 |
|
監査構成 |
Oracle Access Managementは、多数の管理イベントおよび実行時イベントの監査、統一されたロギングおよび例外処理、すべての監査イベントの診断をサポートしています。Oracle Access Management監査構成は、 関連項目: 「共通設定の管理」および「監査構成のためのOracle Access Managementコンソールの使用」 |
|
デフォルトおよびシステム・アイデンティティ・ストア |
このセクションは、デフォルト・アイデンティティおよびシステム・ストアを識別し、これは同じ(または異なる)ものになる場合があります。 関連項目: 「共通設定の管理」。 |
有効なOracle Access Management管理者の資格証明を持つユーザーは、次のタスクを実行して、「共通設定」ページの表示および変更の実行ができます。それぞれの主な手順には、このマニュアル内に記載されている詳細への参照が含まれています。
前提条件
OAMサーバーが稼働している必要があります。
共通設定を管理する手順
「起動パッド」で、「共通設定」をクリックします。
セッション:
「共通設定」ページで「セッション」セクションを展開します。
必要に応じて、各リストの横にある矢印キーをクリックしてセッションのライフサイクル設定を増減させます。
データベース永続性: ボックスを選択してアクティブ・セッションのデータベース永続性を有効化します(または選択を解除してデータベース永続性を無効化します)。
「適用」をクリックして変更を送信します。
コヒーレンス: 「共通のコヒーレンス設定の表示」を参照してください。
監査構成:
「監査構成」セクションを開きます。
「監査構成」セクションで、使用環境の詳細を正しく入力します。
「適用」をクリックして「監査構成」を送信します(または変更を適用しないでページを閉じます)。
関連項目: 第9章「管理イベントとランタイム・イベントの監査」。
デフォルト・ストアおよびシステム・ストア
「デフォルトおよびシステム・アイデンティティ・ストア」セクションを展開します。
システム・ストア(またはデフォルト・ストア)の名前をクリックし、構成ページを表示します。
詳細は、「デフォルト・ストアおよびシステム・ストアの設定」を参照してください。
図3-4は、「コヒーレンス」セクションを展開した「共通設定」ページを示します。
|
注意: Oracleサポートの支援なしにこれらの設定を変更しないことをお薦めします。 |
表3-4は、これらの設定について説明します。
表3-4 共通のコヒーレンス設定
| 要素 | 説明 |
|---|---|
|
ポート |
1から65535の範囲の値を指定できます。 |
|
クラスタ・アドレス |
224.1.255.0から239.255.255.255の値が許可されます。 |
|
存続時間 |
0から255の値がサポートされます。 |
|
クラスタ・ポート |
1から65535の範囲の値を指定できます。 |
共通のコヒーレンス設定を表示する手順
「システム構成」タブから「共通構成」セクションを展開し、「共通設定」をダブルクリックします。
「共通設定」ページで「コヒーレンス」セクションを展開します。
終了したらページを閉じます。変更はしないでください。
証明書検証モジュールはセキュリティ・トークン・サービスによって使用され、X.509トークンを検証し、証明書が失効しているかどうかを検証します。次のオプションがサポートされています。
証明書失効リスト(CRL)は、失効された証明書(シリアル番号により識別)のリストです。失効した証明書は、理由、発行日および発行エンティティとともにリストされます。(さらに、各リストには次のリリースの提示日が含まれます。)これらの(失効した)証明書を提示するエンティティは信頼されなくなります。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。詳細は、第3.4.1項「証明書失効リストの管理」を参照してください。
オンライン証明書ステータス・プロトコル(OCSP)は、CRLの代替として開発されました。OCSPでは、証明書のステータスに関する情報をリクエストするクライアント・アプリケーションが、リクエストに応答するサーバーからその情報を取得する方法を指定します。OCSP応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻します。詳細は、第3.4.2項「OCSP証明書検証の有効化」を参照してください。
CRL配布ポイント拡張機能(CDP拡張機能)には、証明書失効リスト(CRL)およびOCSPサーバーの場所に関する情報が含まれます。これらのポイントの定義には、管理コンソールを使用できます。詳細は、第3.4.3項「CRL配布ポイント拡張機能」を参照してください。
次の各項では、さらに詳細を説明します。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、CRL機能を有効にし、現在の認証局証明書失効リスト(CA CRL)をインポートできます。
前提条件
CA CRLのインポートの準備を整えます。
証明書失効リストのインポート手順
Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。
「証明書失効リスト」タブが表示されます。
「有効」ボックスが選択されていることを確認します。
CRLを追加または削除します。
追加: 「追加」ボタン(緑のプラス記号)をクリックし、CRLファイルを参照して選択し、「インポート」をクリックします。
削除: 表内のリスト名をクリックし、「削除」(x)ボタンをクリックし、確認が表示されたら確認します。
図3-5は、管理コンソールを使用してCA CRLをCRLリストに追加するために使用するポップアップ・ウィンドウのスクリーンショットです。
「適用」をクリックして構成を保存します。
「OCSP証明書検証の有効化」に進みます。
|
注意: 表内のCRLを検索するには、「表示」ドロップダウンから「例による問合せ」を有効にします。表示されるヘッダー・フィールドにフィルタ文字列を入力し、[Enter]キーを押します。 |
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用してOCSPを有効にできます。
前提条件
OCSPサービスのURLのインポートの準備を整えます。
OCSP証明書検証を有効にする手順
Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。
「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。
「OCSP/CDP」タブをクリックします。
OCSPを有効化します。
OCSPサービスのURLを入力します。
OCSPサービスのサブジェクトDNを入力します。
この構成を保存します。
図3-6は、管理コンソールを使用してOCSP URLを追加する方法を示しています。WLSTコマンドを使用してこれを行う方法の詳細は、「configureOAMOSCSPCertValidation WLSTコマンドの使用」を参照してください。
「CRL配布ポイント拡張機能」に進みます。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して発行された証明書にCRL配布ポイントを追加できます。
CDPを有効にする手順
Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。
「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。
「OCSP/CDP」タブを開きます。
CDPを有効化します。
この構成を保存します。
図3-6は、これを説明しています。
この11g リリース2 (11.1.2.2)バージョンのOracle Access Managerには、HTTPプロキシのサポートおよびいくつかのOCSP応答者構成が追加されています。例3-1に、現在の証明書検証モジュール構成を示します。
例3-1 証明書検証モジュール構成
<Setting Name="CertValidationModule" Type="htf:map">
<Setting Name="certpathvalidationocspcertsubject"
Type="xsd:string"></Setting>
<Setting Name="certpathvalidationocspurl" Type="xsd:string"></Setting>
<Setting Name="certvalidationcrlstorelocation"
Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/
domains/base_domain/config/fmwconfig/amcrl.jar</Setting>
<Setting Name="defaulttrustcastorelocation"
Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/
domains/base_domain/config/fmwconfig/amtruststore</Setting>
<Setting Name="defaulttrustcastoretype" Type="xsd:string">jks</Setting>
<Setting Name="certpathvalidationcdpenabled"
Type="xsd:boolean">false</Setting>
<Setting Name="certpathvalidationcrlenabled"
Type="xsd:boolean">false</Setting>
<Setting Name="certpathvalidationocspenabled"
Type="xsd:boolean">false</Setting>
</Setting>
次の各行では、新しいこれらの機能の構成について説明します。
Oracle Access Manager OCSPチェッカは、HTTPプロキシを介して、企業イントラネット外のOCSP応答者に対する認証を実行できます。updateHTTPProxyConfig WLSTコマンドを使用して、プロキシを構成します。
証明書認証は、現在、「OCSP証明書検証の有効化」に示したとおり、単一のOCSP応答者に対する認証をサポートしています。今回、応答URLが認証局情報アクセス機能拡張の一部となったため、複数のOCSP応答者のサポートが追加されました。複数のOCSP応答者をサポートするには、例3-2「複数のOCSP応答者の構成」内の3行の構成を、証明書検証モジュール構成セクションの一番上に追加する必要があります(例3-1を参照)。
例3-2 複数のOCSP応答者の構成
<Setting Name="CertValidationModule" Type="htf:map">
<Setting Name="certpathvalidationocspurltocamap" Type="htf:map">
<Setting Name="<url_value>" Type="xsd:string">
<ocsp_responder_subject></Setting>
</Setting>
<Setting Name="useJDKOCSP" Type="xsd:string">false</Setting>
...
</Setting>
1行目および2行目を、複数のOCSP応答者を有効にするように構成します。
certpathvalidationocspenabledをtrueに設定します。
certpathvalidationocspurltocamap構成を更新します。タイプはMap、キーはOCSP応答者URL (エンコードされたURL)、値はOCSP応答者の証明書サブジェクトです。
<Setting Name="certpathvalidationocspurltocamap" Type="htf:map">
<Setting Name=" http%3A%2F%2Flocalhost%3A9797" Type="xsd:string">
emailAddress=sagar@pspl.com,CN=ps2436,OU=OBLIX-QA,O=PSPL,
L=PUNE,ST=MAHA,C=MY</Setting>
</Setting>
(オプション) certpathvalidationocspcertsubjectおよびcertpathvalidationocspurlの値を設定します。
応答者URLは、最初はユーザーのX.509証明書のAuthorityInformationAccess拡張機能から、次はモジュール/プラグイン(CertValidation)からフェッチされます。応答者サブジェクトは、最初は定義済の構成マップから、次はモジュール/プラグイン(CertValidation)構成からフェッチされます。これらの構成が見つからない場合、OCSP検証は失敗します。
3行目は、新しいOAM OCSPチェッカではなくJDK OCSP検証を使用する場合に、下位互換性を提供するように構成します。デフォルトでは、JDK OCSPチェッカが有効になっています。WLSTコマンドを使用してOAM OCSPチェッカを構成すると、フラグがfalseに設定されます。WLSTコマンドの詳細は、第3.4.5項「configureOAMOSCSPCertValidation WLSTコマンドの使用」を参照してください。
証明書検証モジュールの構成により、表3-5に示す3種類のオプションがあります。
表3-5
| 構成 | OCSP構成(certpathvalidationocspenabled) | CRL構成(certpathvalidationcrlenabled) | JDK/OAM OCSP構成(useJDKOCSP) |
|---|---|---|---|
|
OCSPチェックなし OAM X-509認証の際に、単純な証明書検証が実行される |
False |
False |
False |
|
OAM OCSP X-509認証で、新しいOAM OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する |
True |
True/False (関係なし) |
False |
|
JDK OCSP X-509認証で、JDK OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する |
True |
True |
True |
構成済の応答者URLの1つを使用して実行されるOCSP検証を有効にするには、certpathvalidationcrlenabledおよびcertpathvalidationocspenabledプロパティをtrueに設定し、certpathvalidationocspcertsubjectおよびcertpathvalidationocspurlプロパティの値を設定します。これらのプロパティが設定されていない場合、OCSP検証は、ユーザー証明書のAIA拡張機能内で定義されている応答者URLを使用して行われます。URLが定義されていない場合、OCSP検証は失敗します。
OAM OCSP構成を更新するオンライン・コマンド。次の内容が含まれます。
OCSP応答者のURLおよびサブジェクトの詳細の更新またはcertpathvalidationocspurltocamapへの追加
新しく追加した構成(certpathvalidationocspurltocamapなど)の消去
useJDKOCSPフラグの設定または設定解除によるJDK OCSPの有効化または無効化
certpathvalidationocspurltocamapプロパティのOCSP応答者のURLおよびサブジェクトの詳細を追加または変更し、JDK OCSPチェッカの使用を有効化または無効化することによって、OAM OCSP構成を更新します。
configureOAMOCSPCertValidation(url, subject, clear (optional), display (optional), useJDKOCSP (optional))
| 引数 | 定義 |
|---|---|
url
|
必須です。値として有効なURLをとります。 |
subject
|
必須です。変更される詳細をとります。 |
clear
|
オプション。trueまたはfalseをとります。 |
display
|
オプション。trueまたはfalseをとります。 |
useJDKOCSP
|
オプション。trueまたはfalseをとります。 |
次の例では、OAM OCSPを有効にし、応答者のURLおよびサブジェクトを設定します。
configureOAMOCSPCertValiation(url="http://sample:9898",
subject="cert-subject-detail")
次の例では、OAM OCSPを有効にし、応答者のURLおよびサブジェクトを更新します。
configureOAMOCSPCertValiation(url="http://sample:9898",
subject="details changed/updated")
次の例では、OAM OCSPを無効にし、消去します。
configureOAMOCSPCertValiation(url="http://sample:9898", subject="subject-detail", clear="true")
次の例では、JDK OCSPを有効化/無効化します。
configureOAMOCSPCertValiation(url="http://sample:9898",
subject="details changed/updated", useJDKOCSP="true")
