| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、サーバーの起動とOracle Access Managementコンソールのログインに必要な最初の手順について説明します。すべてのタスクは、Oracle Access Management 11.1.2が『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってデプロイされていることが前提です。
この情報は次の項で構成されています。
Oracle Access Managementコンソールは、WebLogic管理サーバー(AdminServer)上にデプロイされているため、Oracle Access Management管理者は、AdminServerが実行されている場合にのみこれにアクセスできます。Oracle Access ManagementコンソールがWebゲートで保護されている場合は、OAMサーバーが実行中であることが必要です。また、ノード・マネージャは、他のサーバーより先に起動する必要があります。次の各項では、さらに詳細を説明します。
ノード・マネージャは、管理サーバーとの位置関係に関係なく、管理対象サーバーに対する共通操作が可能になるJavaユーティリティです。WebLogic AdminServerまたはOAMサーバーをホストするWebLogic管理対象サーバーを起動または停止するには、あらかじめノード・マネージャが実行されている必要があります。
Oracle Identity Managerをインストールして構成したら、WebLogic管理コンソール(AdminServer)またはOracle Enterprise Manager Fusion Middleware Controlで使用できるよう、ノード・マネージャを構成します。この構成は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のノード・マネージャの構成に関する項の説明に従って、1回のみ実行します。
この構成に続き、startNodeManager.shスクリプトを実行して、ノード・マネージャが稼働していることを確認します。Oracle WebLogic Administration Serverにより自動的に確認されることはありません。
$WLS_HOME/server/bin/startNodeManager.sh
|
関連項目: 詳細は、Oracle WebLogic Server管理者ガイドを参照してください。 |
ノード・マネージャを起動または停止するには
$WLS_HOME/server/binディレクトリに移動します。
起動スクリプトの有効化: setNMPropsを実行してスタックを起動し、ノード・マネージャに起動スクリプト(StartScriptEnabled=true)の使用を有効化するように指定します。
./setNMProps.sh
ノード・マネージャを起動します。
./startNodeManager.sh
WebLogic AdminServerを初めて起動するときには、12-15分、あるいはそれ以上かかる場合があります。このプロセスを中断または終了しないでください。ポリシー・データが破損する場合があります。次の手順では、$DOMAIN_HOME/binディレクトリにあるスクリプトを使用して、WebLogic AdminServerを起動および停止する方法について説明します。
Unix: startWebLogic.sh or stopWebLogic.sh
Windows: startWebLogic.cmd or stopWebLogic.cmd
|
警告: startWebLogic.cmd (Windows)またはstartWebLogic.sh (Linux)が、なんらかの理由(誤って、またはシステム・クラッシュや再起動など)で停止した場合、ポリシー・データが破損する可能性があります。この場合、ドメインを削除して再作成し、再度RCUを実行してOAMスキーマを再作成する必要があります。 |
AdminServerを起動または停止するには
$DOMAIN_HOME/binに移動します。
AdminServerを起動します。
Unix: ./startWebLogic.sh
Windows: run startWebLogic.cmd
AdminServerを停止します。
Unix: ./stopWebLogic.sh
Windows: run stopWebLogic.cmd
コマンド・プロンプト、Oracle WebLogic Server管理コンソールまたはOracle Enterprise Manager Fusion Middleware Controlから、Oracle Access Managementサーバー(OAMサーバー)をホストする管理対象WebLogic Serverのすべての起動および停止操作を実行できます。次の手順では、$DOMAIN_HOME/binディレクトリにあるスクリプト(Unixシステムの場合は.shスクリプト、Windowsシステムの場合は.cmdスクリプト)を使用してOAMサーバーを起動および停止する方法について説明します。
Unix: startManagedWebLogic.shまたはstopManagedWebLogic.sh
Windows: startManagedWebLogic.cmdまたはstopManagedWebLogic.cmd
これらの操作には、管理対象サーバーの名前とAdminServer URLの両方が必要です。たとえば、管理対象サーバーがoam_server1と命名され、AdminServer URLがhttp://examplewlsadminhost.example.com:7001の場合、Unixシステムで実行する起動および停止コマンドは次のようになります。
startManagedWebLogic.sh oam_server1 http://examplewlsadminhost.example.com:7001 stopManagedWebLogic.sh oam_server1 http://examplewlsadminhost.example.com:7001
OAMサーバーを起動または停止するには
$DOMAIN_HOME/binに移動します。
OAMサーバーを起動します。
Unix: ./startManagedWebLogic.sh MANAGED_SERVER_NAME ADMIN_SERVER_URL
Windows: startManagedWebLogic.cmd MANAGED_SERVER_NAME ADMIN_SERVER_URLを実行
OAMサーバーを停止します。
Unix: ./stopManagedWebLogic.sh MANAGED_SERVER_NAME ADMIN_SERVER_URL
Windows: stopManagedWebLogic.cmd MANAGED_SERVER_NAME ADMIN_SERVER_URLを実行
単一のデフォルトLDAPグループであるWebLogic ServerのAdministratorsグループが、システム・ストアとして指定されているデフォルトのユーザー・アイデンティティ・ストア(組込みLDAP)内に設定されます。LDAPグループは、指定されたユーザーに割り当てられると、完全なシステムおよびポリシー構成権限を付与します。異なるLDAPグループを指定すると、WebLogic管理者がOracle Access Managementコンソールにログインしたり、管理コマンド行ツールを使用できなくなります。
|
注意: 特に指定がないかぎり、このガイド内の「管理者」という用語は、Oracle Access Management管理者を指します。 |
Oracle Fusion Middleware構成ウィザードを使用した初回のデプロイメント中に、管理者のユーザーIDおよびパスワードが設定されます。これらの資格証明によって、次へのアクセス権が付与されます。
Oracle Access Managementコンソール。システム構成、セキュリティ要素およびポリシーの登録や管理に使用します。
WebLogic Server管理コンソールを使用して、WebLogic Serverドメイン内のデプロイされたOAMサーバーのサーバー構成サマリー(クラスタ、マシン、状態、ヘルス、リスナー・ポート)を参照したり、これらのサーバー上でSSLの起動、再開、一時停止、停止、または再起動を行います。WebLogic Server管理コンソールを参照してください。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
カスタム管理コマンド行ツール(WebLogic Scripting Tool、リモート登録ツールなど)は、特定の機能セットについて、Oracle Access Managementコンソールにかわる選択肢となります。詳細は、第2.4項「コマンド行ツールでの構成」を参照してください。
最初は管理者ユーザーは、初回構成時に設定されたWebLogic管理者の資格証明を使用してOracle Access Managementコンソールにログインする必要があります。ただし、企業によっては、Oracle Access Management管理を担当するユーザー向けとWebLogic管理を担当するユーザー向けに別々の管理者グループが必要になることがあります。詳細は、「管理者ロールの管理」を参照してください。
|
注意: 構成の同時更新はサポートされていません。どのようなときでも、1人の管理者のみがシステム構成を変更できます。複数の管理者が更新を同時に実行すると、Oracle Access Managementコンソールのシステム構成が一貫性のない状態になります。 |
新たに設計されたOracle Access Managementコンソールでは、Oracle Access Managementのサービスおよび構成への管理アクセスが可能となります。次の各項では、Oracle Access Managementコンソールの機能について説明します。
|
注意: 1つのURLから複数のコンソールにアクセスするためにOracle Identity Navigatorをインストールしている場合、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドを参照してください。 |
Oracle Access Managementコンソールへアクセスするときは、URLにWebLogic Server (AdminServer)のホストおよびポートを指定する必要があります。https://examplewlsadminhost.example.com:7001/oamconsoleというURL例を想定します。このURLは、次のとおりです。
HTTPSは、Webサーバーが戻すユーザー・ページ・リクエストを暗号化および復号化できるように、Secure Socket Layer (SSL)を持ったHypertext Transfer Protocol (HTTP)を表します。
examplewlsadminhost.example.comは、Oracle Access Managementコンソール(AdminServer)をホストするコンピュータの完全修飾ドメイン名です。
7001は、Oracle Access Managementコンソールの指定されたバインド・ポートを指します。これはAdminServer (WebLogic Server管理コンソール)のバインド・ポートと同じです。
/oamconsole/は、Oracle Access Managementコンソールの「ログイン」ページを指します。
|
注意: OAMサーバーのホストおよびポートを指定する場合(ODSMコンソールのアクセス時など)、AdminServerが、404 Not Foundエラーが表示される管理対象サーバーにリダイレクトされます。 |
oamconsole URLに移動すると、図2-1に示すように、デフォルトのOracle Access Managementコンソールの「ログイン」ページが表示されます。「ログイン」ページには、有効なユーザー名とパスワードを入力するフィールドと「ログイン」ボタンが用意されています。
図2-1 Oracle Access Managementコンソールのデフォルトの「ログイン」ページ
|
注意: ログインに正しい管理資格情報を使用するようにしてください。最初はOracle Access Managementコンソール管理者のLDAPグループは、WebLogic Server管理コンソールに定義されたLDAPグループと同じ(Administrators)で、共通のデフォルト・システム・ユーザー・アイデンティティ・ストアはWebLogic組込みLDAPです。 |
Oracle Access Managementコンソールにログインする手順
ブラウザ・ウィンドウで、適切なプロトコル(HTTPまたはHTTPS)を使用してOracle Access ManagementコンソールのURLを入力します。例:
https://hostname:port/oamconsole/
「ログイン」ページで、Oracle Access Managementコンソール管理者の資格証明を入力します。例:
ユーザー名: Admin_login_id
パスワード: Admin_password
言語: 英語(「ユーザー・ログイン言語の選択」を参照)
「ログイン」ボタンをクリックします。
成功した場合: Oracle Access Managementコンソールの「ようこそ」ページが表示されます。
失敗した場合: 「管理者のロックアウト」を参照してください。
「サインアウト」リンクは、図2-2のようにOracle Access Managementコンソールの右上の隅に表示されます。セッションを終了するには、「サインアウト」リンクをクリックします。サインアウトする前に、ブラウザのウィンドウを閉じることをお薦めします。
Oracle Access Managementコンソールからサインアウトするには
コンソール右上の「サインアウト」リンクをクリックします。
ブラウザ・ウィンドウを閉じます。
Oracle Access Managementコンソールは、システムの機能コントロールとポリシー構成に加え、ページレベルのタブとコントロールを提供するWebベースのプログラムです。
|
注意: 構成の同時更新はサポートされていません。どのようなときでも、1人の管理者のみがシステム構成を変更できるようにする必要があります。複数の管理者が更新を同時に実行すると、システム構成が一貫性のない状態になります。 |
この項では、Oracle Access Managementコンソールの概要を簡単に説明します。
新しいOracle Access Managementコンソールの起動パッドでは、構成およびサービスのページに迅速にアクセスできます。「起動パッド」リンクをクリックすると、(デフォルトの「起動パッド」タブに沿って)リンクの機能に適用できるフィールドを含む新しいタブが開かれます。図2-3は、正常にログインした直後に表示されるOracle Access Managementコンソールの「起動パッド」の様子を示します。
「起動パッド」は、クリックして特定のタスクを開始できる1つ以上のリンクを含むいくつかのパネルに分割されます。表2-1には、これらのショートカットの情報を含む、このガイド内の項へのリンクを示しています。
表2-1 「ようこそ」ページのセクションとショートカット
| セクション | ショートカット |
|---|---|
|
クイック・スタート・ウィザード |
|
|
Access Manager |
「Access ManagerのSSO、ポリシーおよびテストの管理」を参照してください。 |
|
アイデンティティ・フェデレーション |
|
|
セキュリティ・トークン・サービス |
|
|
Mobile and Social |
|
|
アクセス・ポータル |
「Oracle Access Management Oracle Access Portalの管理」を参照してください。 |
|
構成 |
「Access Managerの設定とエージェントの管理」および「Access ManagerのSSO、ポリシーおよびテストの管理」を参照してください。 |
起動パッドのように、クリックしたショートカットがOracle Access Managementバナーの下に名前の付いたタブとして表示されます。アクティブなページのタブは白です。アクティブなページのみが表示され、関連する設定の追加、表示または変更が可能な作業領域となります。同時に最大10ページ(タブ)を開くことができます。図2-4は、同時に開かれている複数のページを示します。各ページの名前付きタブと、非表示のページにアクセスする(またはアクティブなページや複数のページを閉じる)ためのコントロールが示されています。開いているページを閉じるために使用できるコントロールは、表2-2に記載されています。
|
注意: 各ページは一度のみ表示されます。同じページを何度も開こうとしても、警告は表示されません。 |
表2-2 ページを閉じるためのコントロール
| ページ・コントロール | 定義 | 説明 |
|---|---|---|
 |
アクティブなページを閉じます。 |
このボタンをクリックすると、アクティブなページが閉じます。 注: 「適用」をクリックする前にページを閉じると、警告なしにすべての変更や追加が破棄される場合があります。 |
 |
複数のページを閉じます。 |
注: 「適用」をクリックする前にページを閉じると、警告なしにすべての変更や追加が破棄される場合があります。 |
コンソールのページには、表2-3にあるグラフィカル・ユーザー・インタフェースの要素が1つ以上含まれます。
表2-3 ページの要素と説明
| ページ要素 | 説明 |
|---|---|
|
名前付きタブ |
コンソール内の開いている各ページを識別します。図2-1を参照してください。 |
|
ページ・コントロール |
1つまたは複数のページを閉じることができます。表2-2を参照してください。 |
|
「適用」ボタン |
ページへの変更や追加を送信します。 |
|
名前の付いたテキスト・ボックス |
キーボードを使用して、名前の付いたフィールドに適切な詳細を入力可能にします。 |
|
チェック・ボックス |
いくつかのオブジェクトから1つを選択できます。たとえば、チェック・ボックスを選択して、状態(有効または無効)やセキュリティ・モード(オープン、簡易、証明書)を定義できます。 |
|
表 |
現在の仕様や新しい仕様のスペースを表示します。表には、ページ・レベルやオプションのボタンに依存しない独立したコマンド・ボタンがあります。 |
|
表のコマンド・ボタン   |
次のことが可能です。 新しい行または定義を表に追加します。 選択した行または定義を表から削除します。 |
|
ドロップダウン・リスト |
選択メニューを提供するために、特定のページに表示されます。情報が提供されているときには、このメニューから選択できます。 |
表2-4では、目的のノードまたはインスタンス、およびOracle Access Managementコンソール内のその他のコマンドやページ・コントロールを選択する方法について説明します。通常の選択のガイドラインが適用されます。
表2-4 選択タスクとコントロール
| タスク | コントロール | 説明 |
|---|---|---|
|
アクティブ化 |
マウス・ボタンをクリック |
クリックして次の希望する項目をアクティブ化します。
|
|
開く |
項目をクリックして、「開く」コマンド・ボタンを選択 |
項目をクリックして、「開く」コマンド・ボタンを選択します。
|
|
ハイライト |
カーソルをドラッグ |
ハイライトするには、ボックスのテキストに沿ってカーソルをドラッグします。 |
|
選択 |
マウス・ボタンをクリック |
処理を行いたい項目をクリックします。たとえば、次の項目をクリックします。 |
Oracle Access Managementコンソールを使用中はいつでも、ページの上にある「ヘルプ」リンクをクリックして詳細を確認できます。オンライン・ヘルプのトピックは、このマニュアルのオンライン版の情報にリンクしています。
一般的に、Oracle Access Managementコンソールの「ヘルプ」を選択すると表示されるトピックは、英語と日本語のみで表示されます。オンライン・ヘルプは、ADMIN言語には翻訳されていません。
「ようこそ」タブをクリックすると、実行可能なアクションを説明したトピックのリストを表示することができます。特定のヘルプ・トピックについては、次の手順を使用してください。
特定のヘルプ・トピックを検索する手順
Oracle Access Managementコンソールでタブをクリックします。
コンソールの右上隅にある「ヘルプ」をクリックします。
新しいウィンドウに表示されるページを確認して、次のリンクのどれかを選択して以下を実行します。
詳細 - このリンクをクリックして、詳細を表示します。
方法 - このリンクをクリックして、ヘルプ検索に関連するタスクの実行手順を表示します。
目次 - 左の「ヘルプ」ペインで、コンテンツを展開してすべてのヘルプ・トピックおよびオンライン・マニュアルのトピックすべてを表示します。
検索 - 検索ウィンドウが表示され、そこでヘルプの検索条件を入力できます。
必要に応じて次のボタンをクリックします。
表示 - 表示オプションのセットを表示します。
矢印 - 前のページに戻ったり、次のページへ移動します。
「プリンタ」アイコン - ページを印刷します。
「エンベロープ」アイコン - ページを電子メールで送信します。
Oracle Access Managementコンソールには、特定の要素(エージェント、アプリケーション・ドメイン、リソースなど)に対する検索コントロールが用意されています。図2-5は、SSOエージェント検索に使用される「検索」ページのスクリーン・ショットです。
「検索」ページは、検索対象のエンティティに応じて、それぞれ異なります。どのような検索でも、フィールドを空白のままにすると、すべてが表示されるようになります。また、検索対象の正確な名前がわからない場合は、ワイルドカード(*)文字が使用できます。検索コントロールのいくつかには、検索条件を保存する機能があります。検索結果の表からは、表示や編集のために開く項目を選択できます。
|
注意: 検索ツールは大文字と小文字が区別されません。 |
Oracle Access Managementコンソールではなく、キーボードを使用して様々なタスクを実行するために、コマンド行ツールがいくつか用意されています。これらのコマンドを使用した後は、コンソールで構成が使用できます。
リモート登録ツールのoamregを使用すると、エージェントのリモート登録、およびデフォルトのアプリケーション・ドメインの作成が可能です。
アップグレード・アシスタント(UA)を使用すると、OSSO 10gの構成をOracle Access Managementに転送できます。
|
関連項目:
|
Oracle WebLogic Scripting Tool (WLST)には、Oracle Access Managementコンソールで実行可能なタスクについて、数多くのカスタムOAMコマンド行の選択肢が用意されています。
|
関連項目: Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス |
ロギングは、コンポーネントがファイルにメッセージを書き込むためのメカニズムです。これらのメッセージは、異なる詳細レベルで記録できます。Oracle Access Managementのコンポーネントは、Oracle Fusion Middleware 11gの他のコンポーネントと同じロギング・インフラストラクチャとガイドラインを使用しています。管理者は、Oracle Fusion Middleware Controlを使用して、Access ManagerおよびSecurity Token Serviceについてのパフォーマンスおよびログ・メッセージをモニターできます。
Oracle Fusion Middlewareにおいて、監査はアカウンタビリティを実現する手段であり、また、誰が、いつ、何を行ったかというタイプの質問への回答を提供します。Oracle Access Managementは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証イベントと認可イベント、および管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。詳細は、第III部「ロギング、監査、レポートおよびパフォーマンスのモニタリング」を参照してください。
|
関連項目: Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド |
次の各項では、ユーザー・ログイン・オプションの構成について説明します。
Oracle Access Managementでは、OAM_LANG_PREF言語設定Cookieが組み込まれたログイン・フォームの言語ドロップダウン・リストを介した言語選択をサポートしています。表2-5は、サポートされる言語および適用される言語コードの一覧です。
表2-5 ログイン・ページの言語コード
| 言語コード | 言語 | 管理者 |
|---|---|---|
|
ar |
アラビア語 |
|
|
cs |
チェコ語 |
|
|
da |
デンマーク語 |
|
|
de |
ドイツ語 |
ドイツ語 |
|
el |
ギリシャ語 |
|
|
en |
英語 |
英語 |
|
es |
スペイン語 |
スペイン語 |
|
fi |
フィンランド語 |
|
|
fr |
フランス語 |
フランス語 |
|
fr-CA |
フランス語(カナダ) |
|
|
he |
ヘブライ語 |
|
|
hr |
クロアチア語 |
|
|
hu |
ハンガリー語 |
|
|
it |
イタリア語 |
イタリア語 |
|
ja |
日本語 |
日本語 |
|
ko |
韓国語 |
韓国語 |
|
nl |
オランダ語 |
|
|
いいえ |
ノルウェー語 |
|
|
pl |
ポーランド語 |
|
|
pt-BR |
ポルトガル語(ブラジル) |
ポルトガル語(ブラジル) |
|
pt |
ポルトガル語 |
|
|
ro |
ルーマニア語 |
|
|
ru |
ロシア語 |
|
|
sk |
スロバキア語 |
|
|
sv |
スウェーデン語 |
|
|
th |
タイ語 |
|
|
tr |
トルコ語 |
|
|
zh-CN |
簡体字中国語 |
簡体字中国語 |
|
zh-TW |
繁体字中国語 |
繁体字中国語 |
特殊なログインを実行する必要がある場合は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』で説明されているOracle Access Managementのカスタマイズ機能を使用して、カスタム・ログイン・ページを実装します。
|
注意: リリース11.1.2.1より前は、Oracle Access Managerは、ログイン・ページのレンダリング時の言語を決定するのにブラウザの言語プリファレンス(Accept-Language HTTPヘッダー)に依存していました。言語を決定できない場合は、デフォルト値として英語(en-us)が使用されていました。この動作は、既存アプリケーションが11.1.2.1モデルに移行されるまでサポートされます。 |
この項では次のトピックを記載しています:
Oracle Access Managementには、表2-6に示されている言語選択方法があります。表内の項目の順序は、優先順位を表します。優先順位はWLSTを使用して設定できます。詳細は言語プリファレンスの構成を参照してください。
表2-6 Oracle Access Managementでの言語選択方法
| 方法 | 説明 |
|---|---|
|
サーバー・オーバーライド |
OAMサーバーで言語を決定できるようにします。これは、ユーザー・エージェントが確実に言語設定を指定できない場合、または管理者が操作上の理由により他の選択方法をオーバーライドする必要がある場合に対応するためのものです。 |
|
設定Cookie |
ユーザーの言語設定を含むドメインCookie (ORA_FUSION_PREFSに似ています)。これは、アプリケーションのパーソナライズ機能によりサポートされる言語設定を使用できるようにするものです。 注意: 現在、設定Cookieでの複数DNSドメイン・サポートは制限されています。このソリューションには、OAM Front-Channelプロトコルとローカル・リソースCookieの拡張機能を組み合せて使用し、DNSドメイン間で設定Cookieのセマンティクスを管理するWebゲートが含められます。 関連項目: 「言語設定Cookieの理解」 |
|
ブラウザ言語 |
ユーザー・エージェント(ブラウザ、RESTクライアント、HTTPクライアント)が、HTTP Accept-Languageヘッダー経由でユーザーの言語設定を指定するのを許可します。 |
|
デフォルト言語 |
Oracle Access Managementにおいて指定された選択方法でユーザーの言語設定を決定できない場合に使用されます。 |
言語設定は、明示的に有効されるまで無効です。デフォルトでは、アプリケーション・ロケールが指定されるまで、ログイン・フォームに言語値リストは含まれません。
|
注意: 「言語の選択」はECCログイン・ページでのみ使用可能です。現在、DCCログイン・ページでは使用できません。 |
言語設定CookieであるOAM_LANG_PREFは、表2-7で説明されているようにドメイン・スコープのCookieです。
表2-7 OAM_LANG_PREF Cookie
| パラメータ | 説明 |
|---|---|
|
名前 |
OAM_LANG_PREF |
|
ドメイン |
ドメイン・スコープ指定のCookie |
|
パス |
/ |
|
値 |
[Cookieバージョン] [セパレータ] [UTF-8 BASE64(名前-値ペア)] 例: v1.0~kqhkiG9w0BAQQFADCB0TELM |
|
ExpirationTime |
永続 | セッション(デフォルト) – OAM構成で指定 |
|
Secureフラグ |
いいえ |
|
preferredLanguage |
BCP47/RFC4647。具体的には、値スペースは、正式名として「言語優先度リスト」と呼ばれるリストに準拠している必要があります。 |
|
defaultLanguageMarker |
true (Cookieよりアプリケーション管理設定を優先する) |false (Cookieから読み取る) |
|
Cookieライフサイクル |
Oracle Access Managementおよび他のアプリケーションが作成、読取り、更新および削除を行うことができます。 |
Oracle Access Managementは、表2-8で説明されているように、ユーザーが選択した言語をアプリケーションに伝播します。
表2-8 言語設定のアプリケーション統合
| 方法 | 説明 |
|---|---|
|
HTTP Accept-Languageヘッダー |
コードを変更することなく、アプリケーションの統合を可能とします。これは、他のオプションよりお薦めの方法です。この方法は、ブラウザのロケール設定に応答する大部分のアプリケーションに適しています。これは、Webアプリケーションのグローバル化において標準的な方法です。この方法は、すべてのADFベースの製品、およびブラウザ・ロケールに応答するすべてのアプリケーションに対する標準オプションになります。 注: OAMエージェントにより、Accept-Languageは選択された言語を反映します。また、サーブレット・フィルタを使用することもできます。 |
|
Access Managerポリシー・レスポンス |
Access Managerは、セッション名前空間に属性langPrefの言語選択を格納します。例: この属性は、HTTPヘッダーおよび/またはCookieを使用してダウンストリーム・アプリケーションにAccess Managerポリシー・レスポンス経由で渡されます。ヘッダーおよび/またはCookieの名前はデプロイメント時に割り当てられます。 |
|
設定Cookie |
ログイン時に選択された言語が、設定Cookieに格納されている値と異なる場合、Oracle Access Managementは、 |
|
IdentityContext |
言語設定は、IdentityContextでカスタム要求として伝播できます。要求名として「oracle:idm:claims:session:attributes」を選択し、 要求は、「 |
WebLogic Scripting ToolコマンドconfigOAMLoginPagePrefを使用して、ログイン・ページの言語設定を構成します。このWLSTコマンドの詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。
Access Managerでは、アイドル・タイムアウト・パラメータで定義されたセッションが非アクティブな時間(デフォルトは15分)を経過した後、およびセッションの存続期間パラメータの値(デフォルトは8時間)によりセッションの有効期限が切れた場合、ユーザーは再認証が必要となります。このリリースでは新たに、ユーザーがオプトインしている場合には、かなり長い期間、ユーザーが再認証をスキップできるオプションが、永続ログイン機能により管理者に提供されます。ユーザーに2週間または1か月という期間が与えられることによって、利便性が大幅に向上します。永続ログイン(ユーザー情報を保存、またはサインイン状態を保持とも呼ばれる)は、有効または無効にでき、期間を構成することも可能です。デフォルトでは無効です。
永続ログインは、oam-config.xmlグローバル構成ファイルで有効化されます。該当するアプリケーション・ドメインでも、明示的に永続ログインを許可することが必要です。グローバルに有効にすると、ユーザー・ログイン・ページには、「サインイン状態を保持」チェック・ボックスが表示され、これを選択すると、ユーザーはRMTokenを受け取ります。ユーザーのセッションの有効期限が切れた場合またはタイムアウトした場合、リソースが永続ログインを許可するアプリケーション・ドメイン内にあり、その認証レベルが適切であれば、RMTokenを持つユーザーはチャレンジされません。オプトインしていないアプリケーション・ドメインのリソースにアクセスを試みた場合は、認証レベルが適切であっても、ユーザーは資格証明を要求されます。(ログイン時にユーザーがオプトインしない場合、セッションの有効期限切れまたは非アクティブ・タイムアウトの後、再度認証を要求されます。)
|
注意: アプリケーション・ドメインのセッション・アイドル・タイムアウトが指定されている場合、永続ログインを有効にすることはできません。 |
永続ログイン機能では、次のように動作します。
デバイス・ブラウザからAccess Managerにログインしたユーザーに対して有効にされている場合、ブラウザを閉じ、再度開いたときに、定義された永続ログインの時間内であれば再認証は必要ありません。
セッション・アクティビティは監査データに反映されます。
期限切れになると、エンド・ユーザーは再度認証を求められます。
別のデバイスから(同じデバイス内の別のプロセス/ブラウザでも)アプリケーションにアクセスを試みると、エンド・ユーザーは再度認証を求められます。
ユーザーがログアウトをクリックすると、OAM_RMトークンは削除され、そのユーザーは再度ログインする必要があります。管理者によるセッションの終了でも同様になります。
OAM_RMトークンはトークンの作成時に入力した資格証明に基づいているため、パスワード・ステータスを変更するイベントが発生すると、そのトークンは無効になり、ユーザーは再度認証する必要があります。内容は次のとおりです。
パスワードの失効
管理者によるパスワードのリセット
別のデバイスでのユーザーによるパスワード変更
管理者によるユーザーの削除またはロック
デバイスの盗難に対処するため、管理者は、ユーザーのすべてのデバイス/ブラウザのすべてのセッションを終了できます。ユーザーは再認証が必要ですが、ログイン・ページには永続ログインを有効にするオプションがあります。
機密性の高い操作の前にアプリケーションが意図的にユーザーに認証を要求するように、再認証をトリガーされたアプリケーションは、永続ログインが有効であっても、ユーザーに再認証を強制します。
永続ログインを許可しているアプリケーションから許可していないアプリケーションに移動すると、ユーザーは自動的にログインされるにもかかわらず、永続ログインを許可していないアプリケーションは、そのユーザーに資格証明を入力するように要求します。
永続ログインは、アプリケーションがトリガーしたログイン・ページでは使用できません。
次の各項では、さらに詳細を説明します。
次の手順に従って、永続ログインを有効にします。この機能はデフォルトでは無効です。
次のWLSTコマンドを実行して、永続ログインをグローバルに有効化します。
WebLogic Serverの場合、Oracle_IDM1/common/bin/wlst.sh using configurePersistentLogin(enable="true", validityInDays="30", maxAuthnLevel="2", userAttribute="obPSFTID")を実行します。
WebSphere Application Serverの場合、$IDM_HOME/common/bin/wsadmin -connType SOAP -port SOAP_PORT -user WAS_ADMIN -password WAS_ADMIN_PASSWORDにアクセスして、Oam.configurePersistentLogin(enable="true", validityInDays="30", maxAuthnLevel="2", userAttribute="obPSFID")を実行します。
次の表の値を使用して、新しい永続ログインの認証スキームを作成します。
詳細は、第19.9項「認証スキームの管理」を参照してください。「サインイン状態を保持」チェック・ボックスは、このスキームにより保護されるリソースにアクセスする場合にのみ表示されます。
| 属性 | 値 |
|---|---|
| 名前 | PersistentLoginScheme (または任意の名前) |
| 説明 | 任意の説明 |
| 認証レベル | 2 |
| チャレンジ・メソッド | フォーム |
| チャレンジ・リダイレクトURL | /oam/server/ |
| 認証モジュール | LDAPPlugin |
| チャレンジURL | /pages/login.jsp |
| コンテキスト・タイプ | デフォルト |
| コンテキスト値 | /oam |
| チャレンジ・パラメータ | enablePersistentLogin=true |
「起動パッド」で、「アプリケーション・ドメイン」リンクをクリックします。
このPersistentLoginSchemeを使用するアプリケーション・ドメインをクリックし、次の手順に従って認証スキームを変更します。
詳細は、第20.7項「特定のリソースの認証ポリシーの定義」を参照してください。
該当するアプリケーション・ドメインの「認証ポリシー」タブをクリックします。
保護されているリソース・ポリシーの認証スキームをPersistentLoginSchemeに変更します。これによって、このポリシーへの永続ログインが可能になります。
|
注意: パブリック・リソース・ポリシーは、変更しないでください。 |
次の手順に示すとおり、構成済のすべての認可ポリシーに対してレスポンスを作成するアプリケーション・ドメインをクリックします。
複数の認可ポリシーがある場合は、すべてに対してこれを行う必要があります。詳細は、第20.9.4項「SSOのポリシー・レスポンスの構築について」を参照してください。
該当するアプリケーション・ドメインの「認可ポリシー」タブをクリックします。
このアプリケーション・ドメイン内の認可ポリシーを1つずつクリックして、その構成タブを開きます。
「レスポンス」をクリックします。
「追加」をクリックし、アプリケーション・ドメインに認可レスポンスを作成します。
表示される「レスポンスの追加」ポップアップに次の値を入力し、「追加」をクリックします。
| 属性 | 値 |
|---|---|
| タイプ | セッション |
| 名前 | allowPersistentLogin |
| 値 | true |
すべての認可ポリシーに対してこの手順を実行したら、次の手順に進みます。
このスキームにより保護されるリソースにアクセスします。
このログイン・ページに「サインイン状態を保持」チェック・ボックスが表示されます。
有効な資格証明を指定し、「サインイン状態を保持」を選択します。
ブラウザを閉じ、再度開きます。
同じリソースにアクセスします。
資格証明を要求されることなく、自動的にログインされます。
|
注意: 永続ログインは、WLSTを使用しても有効化および無効化できます。configurePersistentLoginコマンドの詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスを参照してください。 |
WLSTを使用して永続ログインを有効にすると、永続ログイン・プロパティを格納するようにobpsftidというLDAP属性が定義されます。ユーザーがロックされると、この属性を更新する必要がありますが、oamSoftwareUserには、これに対する十分なLDAP権限がありません。次の手順を使用して、oamSoftwareUserに権限を付与してください。
次に示すLDIFデータをコピーしてファイルに貼り付け、oam_user_write_acl_users_obpsftid_template.ldifという名前で保存します。
############################################################################## # Copyright (c) 2010, 2011, Oracle and/or its affiliates. All rights reserved. # # NAME: idm_idstore_groups_acl_template.ldif # # # DESCRIPTION: # # This file provides appropriate ACLs to user and group containers. # # # SUBSTITUTION VARIABLES: # # %s_UsersContainerDN% : The container in which users reside # %s_GroupsContainerDN% : The container in which groups reside # ############################################################################## dn: %s_UsersContainerDN% changetype: modify delete: orclaci orclaci: access to attr=(obUserAccountControl, obLoginTryCount, obLockoutTime, oblastsuccessfullogin, oblastfailedlogin, obpasswordexpirydate, obver, obLastLoginAttemptDate, oblockedon) by group="cn=orclFAOAMUserWritePrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare,write) by group="cn=orclFAUserReadPrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare) by group="cn=orclFAUserWritePrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare,write) - add: orclaci orclaci: access to attr=(obUserAccountControl, obLoginTryCount, obLockoutTime, oblastsuccessfullogin, oblastfailedlogin, obpasswordexpirydate, obver, obLastLoginAttemptDate, oblockedon, obpsftid) by group="cn=orclFAOAMUserWritePrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare,write) by group="cn=orclFAUserReadPrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare) by group="cn=orclFAUserWritePrivilegeGroup,%s_GroupsContainerDN%" (search,read,compare,write)
作成したoam_user_write_acl_users_obpsftid_template.ldifで次の操作を行います。
%s_UsersContainerDN%をユーザー検索ベースで置換します。
%s_GroupsContainerDN%をグループ検索ベースで置換します。
OIDディレクトリに移動し、ldapmodifyを実行します。
$ setenv ORACLE_HOME <OID_INSTALL_LOCATION> $ cd $ORACLE_HOME/bin $ ./ldapmodify -h <LDAP server> -p <LDAP port> -D <bind DN> -w <bindpassword> -v -f oam_user_write_acl_users_obpsftid_template.ldif
