| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Access Manager ISAPI WebgateとMicrosoft Internet Security and Acceleration Server(ISAサーバー)が連動するように構成する方法を説明します。トピックには次が含まれます:
Oracle Access Managementコンソールが稼働していること、および次の項目を理解していることを確認してください。
ISAサーバーは、Microsoft社の統合エッジ・セキュリティ・ゲートウェイです。このサーバーは、インターネットベースの脅威からIT環境を保護し、アプリケーションおよびデータへの安全なリモート・アクセスをユーザーに提供するように設計されています。
Webgateは、Access ManagerのWebサーバー・プラグイン・アクセス・クライアントで、WebリソースへのHTTPリクエストを捕捉して、認証と認可を行うためにアクセス・サーバーに転送します。ISAPIは、ISAサーバー(およびIIS Webサーバー)と通信するWebgateを識別するためにAccess Managerで使用されるインターネットWebサーバー拡張機能です。
このWebgateは、Access Managerの基本およびフォーム(フォームベース)認証スキームの両方を使用するシナリオでISAサーバーと連動することがテストされています。通常どおり、Access Managerを使用して基本およびフォーム認証スキームとポリシー・ドメインを開発してください。
|
注意: Access Managerのクライアント証明書認証は、ISAサーバーに対してはサポートされていません。 |
|
関連項目: 認証管理とポリシー・ドメインの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。 |
ISAサーバーをAccess Managerと連動させる方法は、IIS Webサーバーの場合とほぼ同じです。ただし、ISAサーバーでは、ファイアウォールと仮想プライベート・ネットワーク(VPN)の機能が提供されます。
ISAサーバーは、サード・パーティのセキュリティ・フィルタを使用するように構成できます。ISAサーバー使用時の認証および認可にAccess Managerセキュリティを適用するには、webgate.dllとpostgate.dllの両方をISAサーバーWebフィルタとして登録する必要があります。アクセス・サーバーへのリクエストがISAサーバーを通過するたびに、webgate.dllとpostgate.dllが要求されます。
次の概要では、実行が必要なタスクと、ISAサーバーでのISAPI Webgateの設定手順に関する項目について説明します。
次のURLのOracle Technology Networkから最新の動作保証のマトリクスを入手してください。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
ISAサーバーのインストール後、ISAサーバーと連動させるためにWebgateをインストールするには、次のタスクを実行します。
ISAサーバーでWebgateをインストールする場合、ISAPI Webgateのインストール先(Webgate_install_dir)を、Microsoft ISAサーバーのインストール先と同じにする必要があります。たとえば、ISAサーバーがC:\Program Files\Microsoft ISA Serverにインストールされている場合、ISAPI Webgateもその同じ場所にインストールする必要があります。
|
注意: Webgateのインストール時に、ISAサーバー構成を自動更新しないでください。ISAサーバー構成を自動更新するかどうか確認されたら、「いいえ」を選択してください。 |
タスクの概要: ISAサーバー用のISAPI Webgateのインストール
次の項目の詳細は第25章を参照してください。これらはご使用の環境に応じて適用されます。
ISAサーバーに対応するISAPI Webgateのインストールと構成が終了したら、\accessサブディレクトリへの権限を変更する必要があります。このサブディレクトリは、ISAサーバー(およびWebgate)のインストール・ディレクトリ内に作成されています。ユーザーNETWORK SERVICEを追加し、NETWORK ADMINISTRATORにフル・コントロール権限を付与する必要があります。
これにより、ISAサーバーがWebgateとアクセス・サーバー.との間の接続を確立できます。特定の構成ファイルをネットワーク管理者に対して読取り可能にする必要があります。NETWORK ADMINISTRATORにフル・コントロールを付与するのはそのためです。
ファイル・システムで、Webgate_install_dir\accessを右クリックし、「プロパティ」を選択します。
「プロパティ」ウィンドウで「セキュリティ」タブをクリックします。
NETWORK SERVICEユーザーを追加し、「許可」を選択して「フル コントロール」を付与します。
NETWORK ADMINISTRATORに対して、「フル コントロール」を選択します。
次の項では、ISAサーバーをAccess Manager ISAPI Webgateと連動するように構成する方法について説明します。
ISAPI Webgate権限をリセットしたら、Access Managerのwebgate.dllおよびpostgate.dllプラグインをISAサーバー内にWebフィルタとして登録する必要があります。Webフィルタは、ISAサーバーのホストを通過するHTTPトラフィックをすべて検査します。条件に適合するリクエストのみが、通過を許可されます。
Access Manager認証スキームでは、ユーザーへの資格証明のチャレンジ方法、ユーザーが入力した情報のマッピングや検証方法などを定義します。ISAサーバーでは、チャレンジ方法としてフォーム認証または基本認証のどちらかを選択する必要があります。ユーザーが入力した資格証明を、ディレクトリ・サーバーに格納されている対応するユーザー・プロファイルにマッピングするためにチャレンジ・パラメータも指定する必要があります。
|
注意: Access ManagerライブラリがISA Webフィルタとして登録されていないと、Access Manager認証が失敗する可能性があります。認証スキームのフォームベースのログイン用アクション・パスでwebgate.dllを指定しないでください。かわりに、/accessディレクトリ内のダミー・ファイルへのパスを次のように指定する必要があります。
フォームベースの認証の場合、postgate.dllをインストールし、webgate.dllよりも上位に置く必要があります。 |
次の手順では、Access ManagerプラグインをISAサーバーに登録する方法を説明します。
|
注意: フィルタ登録を元に戻す必要がある場合、次の手順を使用し、regsvr32コマンドに/uオプションを指定します。たとえば、regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dllのようになります。 |
Access ManagerプラグインをISAサーバーWebフィルタとして登録する手順
ISAサーバーのインストール・ディレクトリを探し、そこから次のタスクを実行します。
net stop fwsrvを実行し、ISAサーバーを停止します。
regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dllを実行し、webgate.dllをISAPI Webフィルタとして登録します。
regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\postgate.dllを実行し、postgate.dllをISAPI Webフィルタとして登録します。
net start fwsrvを実行し、ISAサーバーを再起動します。
ユーザーを認証するには、ISAサーバーが認証サーバーと通信可能である必要があります。Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして登録した後、これらのWebフィルタを使用してリソースを保護するようにISAファイアウォール・ポリシー・ルールを構成する必要があります。
Web公開ルールでは、基本的に受信リクエストが適切なWebサーバーにマッピングされます。アクセス・ルールでは、送信元ネットワーク上のクライアントが宛先ネットワーク上のリソースにアクセスする方法を決定します。ISAファイアウォール・ポリシー・ルールでは、ユーザー・セットのクライアント・メンバーシップ(ファイアウォール・クライアント、認証済Webクライアント、仮想プライベート・ネットワーク(VPN)クライアントのいずれか)が必要になります。ISAサーバーは、ISAファイアウォール・ポリシー・ルールに基づいて認証済ユーザーの照合を試みます。
|
関連項目: ISAサーバーのドキュメントの、ISAファイアウォール・ポリシーおよびルールの詳細 |
次の手順では、Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして使用するためにISAファイアウォール・ポリシー・ルールを構成する方法について説明します。
|
注意: 次の手順を実行した後、認証のリスナーを作成する場合は、「Advanced Properties」の「Allow client authentication over HTTP」を選択します。 |
Access Managerの認証および認可を有効にするためのISAポリシーの構成手順
「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。
「ISA Server Management」コンソールのツリーでこのサーバーの名前を探し、「Firewall Policy」をクリックします。
「Tasks」タブで「Publish Web Sites」をクリックします。
「Web publishing rule name」フィールドにわかりやすいルール名を入力し、「Next」をクリックします。
「Select Rule Action」ページで、「Allow」オプションが選択されていることを確認し、「Next」をクリックします。
「Publishing type」で、「Publish a single Web site or load balancer」オプションが選択されていることを確認し、「Next」をクリックします。
「Server Connection Security」ページで、「Use non-secured connections to connect the published Web server or server farm」をクリックし、「Next」をクリックします。
|
注意: セキュアな接続を使用している場合、ISAサーバーで提供されるサーバー接続セキュリティ設定を参照してください。 |
内部公開の詳細を設定するには、次の手順を実行します。
「Internal site name」ボックスに、Webサーバーの内部的にアクセス可能な名前を入力します。
「Use a computer name or IP address to connect to the published server」チェック・ボックスを選択します。
「Computer name or IP address」ボックスに、Webサーバー・コンピュータの内部的にアクセス可能な完全修飾ドメイン名か、IPアドレスを入力します。
「Next」をクリックします。
「Public name」ボックスで、パブリックにアクセス可能なWebサーバー・コンピュータのドメイン名を入力し、「Next」をクリックします。
Webサイトに特定のフォルダを公開するには、次の手順を実行します。
公開されたWebサイトのフルパスを「Web site」ボックスに表示するには、「Path (optional)」ボックスにフォルダ名を入力します。
「Next」をクリックします。
Accept requests forリストで、次の操作を実行します。
「This domain name (type below)」をクリックします。
「Public name」ボックスに、Webサイトのパブリックにアクセス可能な完全修飾ドメイン名を入力します。
「Next」をクリックします。
「Web listener」リストで、このWeb公開ルールに使用する「Web listener」をクリックするか、新しいWebリスナーを次のように作成します。
「New」をクリックし、新しいWebリスナーのわかりやすいルール名を入力して、「Next」をクリックします。
「Do not require SSL secured connections with clients」をクリックし、「Next」をクリックします。
「Listen for requests from these networks」リストで、必要なネットワークを選択し、「External」ボックスを選択し、「Next」をクリックします。
「Select how clients will provide credentials to ISA Server」リストで、「No Authentication」をクリックし、「Next」をクリックします。
「Single Sign On Settings」ページで、「Next」をクリックし、「Finish」をクリックします。
Authentication Delegation: 「Select the method used by ISA Server to authenticate to the published Web server」リストで次の手順を実行します。
「No Delegation」をクリックします。
「Client Cannot Authenticate Directly」をクリックします。
「Next」をクリックします。
これは、ISAサーバーによって、公開されたWebサーバーへの認証に使用されます。
「User Sets」ページで、次の手順を実行します。
「User Sets」ボックスから「All」(デフォルトのユーザー設定)を選択し、リクエストに適用するルールを設定します。
「Next」をクリックして、「Finish」をクリックします。
「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
該当するポートのみが開き、通過させるトラフィックが許可されていることを確認します。
Webgate ISAPIフィルタが正しい順序で組み込まれるように確認することが重要です。postgate.dllはwebgate.dllより前にロードする必要があります。
ISAサーバーのためにWebgate ISAPIフィルタを並べ替える手順
「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。
「Configuration」を開き、「Add-ins」を選択してWebフィルタを表示します。
「Web-filters」を右クリックし、「Properties」を選択します。
次の.dllファイルが表示されることを確認します。
例:
表示されていないフィルタを追加し、必要であれば、フィルタ名を選択して上下の矢印を使用し、手順5の表示のようにフィルタの順序を変更します。
|
警告: webgate.dllフィルタとpostgate.dllフィルタがそれぞれ1つのみあること、また有効な状態であることを確認します。さらに、postgate.dllがwebgate.dllより高い優先度でインストールされていることを確認します。 |
Access Manager Webコンポーネントのインストールまたは設定中にISAサーバーの再起動を求められた場合は、画面に表示されるすべての指示に従ってください。また、ISAサーバーの起動と停止に適している、net stop fwsrvおよびnet start fwsrvの使用を検討してください。netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。
詳細は、ISAサーバーのドキュメントを参照してください。
ISAサーバーと連動するように構成されたWebgateのアンインストールを計画している場合、最初にAccess Managerフィルタの登録を手動で解除してから、Webgateをアンインストールする必要があります。
Webgateのアンインストールの前にフィルタの登録を解除する手順
ISAサーバーを停止します。
コマンド行で次のコマンドを実行して、webgate.dllの登録を解除します。例:
regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dll
コマンド行で次のコマンドを実行して、postgate.dllの登録を解除します。例:
regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\postgate.dll
