| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
レガシーOracleAS SSO 10gが既存のデプロイメントのエンタープライズ・ソリューションとしてすでに配置されている場合、Oracle Fusion Middlewareは、これをソリューションとして引き続きサポートします。さらに、第15章で説明するように、既存のOSSO 10g mod_ossoモジュールをAccess Managerのエージェントとして登録することもできます。
この章では、Access Manager 11.1.2で使用するためにレガシーOSSOエージェントを登録または管理する方法について説明します。この章の内容は、次のとおりです。
この項では次のトピックを記載しています:
mod_ossoモジュールは、シングル・サインオン・サーバーの唯一のアプリケーションとして機能することで、認証プロセスを簡易化するOracle HTTP Serverモジュールです。このため、mod_ossoは、OracleASアプリケーションに透過的な認証を実現します。これにより、OracleAS Single Sign-Onで保護されたアプリケーションは、ユーザーのログイン後に、ユーザー名とパスワードのかわりにHTTPヘッダーを受け入れるようになります。これらのヘッダーの値がmod_osso Cookieに格納されます。
これらのアプリケーションの管理者は、アプリケーションをSDKに統合する負担がなくなります。ユーザーの認証後、mod_ossoは、ユーザーの認可にアプリケーションで使用される可能性のある単純なヘッダー値を送信します。
ユーザー名
ユーザーGUID(グローバル・ユーザー・アイデンティティ)
言語および地域
Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信できるようになります。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。このプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。
OSSOプロキシは、Access ManagerエージェントとOSSOエージェント間の相互運用性をサポートします(OSSOエージェントを使用して、Webゲートまたはアクセス・クライアントのために作成された有効なSSOセッションにアクセスしたり、Webゲートまたはアクセス・クライアントを使用してOSSOエージェントのために作成された有効なSSOセッションにアクセスしたりします)。
| OSSOプロキシのサポート対象 | 説明 |
|---|---|
| SSOログイン | OSSOエージェントからOAMサーバー(およびOSSO固有のトークン) |
| SSOログアウト | OSSOエージェントからOAMサーバー |
| OSSOエージェントのリクエストおよびプロトコル | OSSOプロキシは、OSSOプロトコルをAccess Manager用のプロトコルに変換します。 |
10g mod_ossoをエージェントとして登録した後、Access Managerはリソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザーのためのリダイレクトURLを渡します(表24-1)。
この項では、Access Manager 11gのシングル・サインオン・ポリシーを実装および施行する主要コンポーネントをOSSO 10gと比較しながら説明します。明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。OracleAS SSO 10gは認証のみ提供します。表24-2に、これらの違いについての概要を示します。
表24-2 11g Access Manager SSOとOSSO 10gコンポーネントのサマリー
| コンポーネントの説明 | 11g Access Manager | OSSO 10g |
|---|---|---|
|
Oracle Identity Managementインフラストラクチャ |
エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。 |
エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。 |
|
エージェント 依存するパーティとともに存在し、認証および認可タスクをOAMサーバーに委任します。 |
注: 9つの管理者言語がサポートされています。 |
|
|
サーバー 注意: 管理ユーザーは、https://host:port/oamconsoleのURLを入力して、コンソールのホームページにアクセスできます。 管理外ユーザーは、SSOログイン・ページを戻すアプリケーションのURLを入力して、シングル・サインオン・サーバーに最初にアクセスします。 |
関連項目: |
関連項目: 『Oracle Application Server Single Sign-On管理者ガイド』 |
|
プロキシ レガシー・システムのサポートを提供します。 |
|
|
|
コンソール |
Oracle Access Managementコンソール |
Access Manager 11g以前に同等のコンソールはありません。 |
|
インターネット上での情報交換の保護に使用されるプロトコル。 |
エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS 11g Webゲートでは、エージェント・キーを使用して情報交換が保護されます。 -関連項目: 暗号化キー |
N/A |
|
ポリシー・ストア |
データベース |
mod_ossoおよびパートナ・アプリケーション |
|
アプリケーション |
認証および認可をAccess Managerに委任して登録されたエージェントからヘッダーを受け入れるアプリケーション。 注: 外部アプリケーションは認証が委任されません。かわりに、アプリケーション・ユーザー名とパスワードを求めるHTMLログイン・フォームが表示されます。たとえば、 Yahoo! Mailは、HTMLのログイン・フォームを使用する外部アプリケーションです。 |
認証をmod_ossoおよびOracleAS Single Sign-Onサーバーに委任するアプリケーション。 注: Access Manager 11gでmod_ossoを登録した後、mod_ossoは認証をOAMに委任します。 mod_ossoモジュールを使用すると、ユーザーのログイン後に認証されたユーザー情報をアプリケーションで受け入れることができます。登録されたOSSOエージェントからヘッダーを受け入れて、再認証を回避します。 アプリケーションは、認証されたユーザーがアプリケーションの使用を認可されているかを判別します。 |
|
SSOエンジン |
セッションのライフサイクルを管理し、有効なセッションのすべての依存するパーティのグローバル・ログアウトを容易にして、複数のプロトコルの一貫したサービスを提供します。 Access Manager 11gによって登録されたエージェントを使用します。
|
|
|
暗号化キー |
注: 登録されたmod_ossoエージェントごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 |
|
|
キー・ストレージ |
|
|
|
Cookie 関連項目: 表18-8 および |
ホストベースの認証Cookie
|
|
|
ポリシー |
登録済エージェントは、Access Manager認証、認可およびトークン発行ポリシーを使用して、保護されたアプリケーション(定義されたリソース)のアクセスを取得するユーザーを決定します。 |
mod_ossoは、Access Manager 11g認証ポリシーのみを使用して、定義されたリソースのアクセスを取得するユーザーを決定します。 mod_ossoは、認証のみを提供します。 |
|
クライアントIP |
|
|
|
暗号化/復号化(暗号化されたデータを元の形式に変換する) |
クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。
|
暗号化はmod_ossoおよびOSSOサーバーの両方で実行されます。
|
|
セッション管理 |
|
|
|
レスポンス・トークンの再生防止 |
|
|
|
複数のネットワーク・ドメインのサポート |
Access Manager 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Federationを使用することをお薦めします。 |
N/A |
|
一元化されたログアウト |
第22章を参照してください。 |
mod_osso (OSSOエージェント)を持つAccess Manager 11gでは変更は必要ありません。 動的ディレクティブを使用するアプリケーションは、mod_osso.confにエントリを必要としません。かわりに、1つまたは複数の動的ディレクティブとして保護がアプリケーションに書き込まれます。 第22章を参照してください。 |
この項では、Oracle Access Managementコンソールを使用したOSSOエージェント登録(mod_osso)の管理方法について説明します。詳細は、次のドキュメントを参照してください。
このトピックでは、Oracle Access Managementコンソールを使用したOSSOエージェントの登録について説明します。
|
注意: OSSOエージェントを登録する前に、Oracle HTTP Serverがクライアント・コンピュータ上にインストールされて、mod_ossoにWebサーバーが構成済であることを確認してください。 |
図24-1に、Oracle Access Managementコンソールの「システム構成」タブにある「OSSOエージェントの作成」ページを示します。
「OSSOエージェントの作成」ページでは、必要な情報にアスタリスク(*)で印が付けられています。表24-3 は、新しいエージェントを登録する際に指定できる必須およびオプションの詳細を示します。
表24-3 「OSSOエージェントの作成」ページの要素
| 要素 | 説明 |
|---|---|
|
名前 |
このmod_ossoエージェントを識別する名称。 |
|
トークン・バージョン |
トークンのデフォルト・バージョンは3.0です。次のオプションを使用できます。
|
|
ベースURL OSSOエージェントで必須です。 |
必要なプロトコル、ホスト、およびエージェントのWebサーバーがインストールされるコンピュータのポート。たとえば、http://host.example.domain.com:port or https://example.domain.com:portなどです。 注意: ホストとポートは、展開された登録のデフォルトとして使用されます。表24-5を参照してください。 |
|
管理者ID |
このmod_ossoインスタンスの管理者のログインID(オプション)。たとえば、SiteAdminなどです。 |
|
管理者情報 |
このmod_ossoインスタンスの管理者の詳細(オプション)。たとえば、アプリケーション管理者などです。 |
|
ホスト識別子 |
ホスト識別子は、エージェント名に基づいて自動的に入力されます。 |
|
ポリシーの自動作成 |
エージェントの登録中、自動的に作成された認証および認可ポリシーを使用できます。デフォルトで、このオプションが選択(有効化)されます。 OSSOプロキシには、汎用のURL (/**)を持ったリソースを含み、LDAPスキーム(デフォルト)に基づくポリシーで保護されているアプリケーション・ドメインが必要です。サーバー側で汎用のURLが使用されるのは、このためです。 デフォルト: 有効 注意: ドメインおよびポリシーをすでに登録している場合は、新しいリソースを追加できます。このオプションを解除(選択解除)すると、アプリケーション・ドメインやポリシーは自動的に生成されません。 アップグレード済のデプロイメントでは、SSOCoExistMigrateSchemeを使用するように、認証ポリシー内の認証スキームを変更する必要があります。 |
エージェントの登録を合理化するため、いくつかの要素は非表示にされ、コンソールで登録時にはデフォルト値が使用されます。Oracle Access Managementコンソールでエージェントの登録ページを表示すると、「コンソール内の拡張されたOSSOエージェント・ページの理解」で説明する要素と値をすべて確認できます。
OSSOエージェント構成ファイル
OSSOエージェント構成ファイルのosso.confは、エージェントの登録および構成の変更時に更新されます。これは、コンソール・ホスト(AdminServer)に格納されます。登録または構成を更新したときには、表24-4に示すように、アーティファクトをエージェント・ホスト上のmod_ossoディレクトリ・パスに再配置する必要があります。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を実行すると、Oracle Access Managementコンソールを使用してOSSOエージェントを登録できます。
前提条件
Oracle HTTP Serverがクライアント・コンピュータにインストールされて実行中であり、mod_ossoに対して構成されていることを確認してください。
OSSOエージェントを登録する手順
Oracle Access Managementコンソールで「新規OpenSSOエージェント」リンクをクリックします。
または、「システム構成」タブの「Access Manager」セクションで「SSOエージェント」ノード、「OSSOエージェント」ノードを開き、右上隅の「OSSOエージェントの作成」ボタンをクリックします。
「OSSOエージェントの作成」ページで、表24-3にある必要な詳細を入力します。
名前
ベースURL
必要な「トークン・バージョン」を選択し、必要な場合にはオプションの詳細を入力します(表24-3)。
「適用」をクリックして、登録を送信します(または変更を適用しないでページを閉じます)。
「確認」ウィンドウで、生成されたアーティファクトのパスを確認し、ウィンドウを閉じます。例:
Artifacts are generated in following location : /.../base_domain/output/$Agent_Name
コンソールのホスト(AdminServer)からosso.confをエージェントのホストのWebサーバーにコピーします。例:
| osso.conf | パス | |
|---|---|---|
| コピー元: AdminServer (コンソール)ホスト | $DOMAIN_HOME/output/$Agent_Name/ | |
| コピー先: エージェントのホストのWebサーバーのmod_ossoディレクトリ・パス: $OHS_dir/osso.conf. | $WebTier_MW_HOME/Oracle_WT1/instances1/config/OHS/ohs1/config/osso.conf |
アップグレード済のデプロイメントでは、SSOCoExistMigrateSchemeを使用するように、保護されたリソース・ポリシーの認証スキームを変更します。
エージェントをホストしているOAMサーバーを再起動します。
必要に応じて次の手順に進みます。
この項では、Oracle Access Managementコンソールを使用したOSSOエージェント登録(mod_osso)の管理方法について説明します。詳細は、次のドキュメントを参照してください。
登録時には、登録プロセスを簡潔にするために、使用可能なパラメータのサブセットのみが表示されます。Oracle Access Managementコンソールとリモート登録ユーティリティのどちらを使用してエージェントを登録していても、エージェントの登録後には、コンソールで完全なエージェントの構成ページを表示できます。それまで非表示にされていた要素にはデフォルト値が移入されています。この要素は、図24-2に示すように、エージェントのページを開いたときに表示されます。「確認」ウィンドウはそのまま表示されます。
表24-5は、OSSOエージェントで使用される展開済の要素とデフォルトの概要を示します。
表24-5 展開されたOSSOエージェントの要素
| 要素 | 説明 |
|---|---|
|
サイト・トークン |
認証をリクエストする際にパートナにより使用されるアプリケーション・トークン。これは編集できません。 |
|
成功URL |
認証の成功時に使用されるリダイレクトURL。デフォルトでは、ベースURLにより指定される完全修飾されたホストおよびポート上のosso_login_successが使用されます。例: デフォルト: https://example.domain.com:7001/osso_login_success |
|
失敗URL |
認証が失敗したときに使用されるリダイレクトURL。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポート上のosso_login_failureが使用されます。 デフォルト: https://example.domain.com:7001/osso_login_failure |
|
開始日 |
アプリケーションへのログインがサーバーにより許可される第1日目の年月日。 デフォルト: エージェントの登録日。 |
|
ホームURL |
認証後にホーム・ページとして使用されるリダイレクトURL。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポートが使用されます。 デフォルト: https://example.domain.com:7001 |
|
ログアウトURL |
ログアウトするときに使用されるリダイレクトURL。これは、ユーザーをサーバー上のグローバル・ログアウト・ページにリダイレクトします: osso_logout_success。デフォルトでは、エージェント・ベースURLにより指定される完全修飾されたホストおよびポートが使用されます。 デフォルト: https://example.domain.com:7001/osso_logout_success |
「OSSOエージェント」ノードを初めて開くと、「検索」フォームが表示されます。「結果」表に、すべてのOSSOエージェントがリストされます。結果が多すぎて目的のものをすぐに見つけられない場合には、コントロールを使用して検索を絞り込むことができます。
OSSOエージェントの検索を絞り込む要素は、登録時に割り当てられた「エージェント名」、またはシステムによって割り当てられる「エージェントID」の2つのみです。
前提条件
OSSOエージェントがOracle Access Managementコンソールに登録されて、使用可能であることが必要です。
OSSOエージェント登録を検索する手順
「システム構成」タブで、「Access Manager」セクションに進みます。
「SSOエージェント」ノードを展開し、「OSSOエージェント」ノードを開きます。
「名前」フィールドに、検索条件を入力します(ワイルドカード(*)の使用は任意)。例:
my*
「Search」ボタンをクリックします。
「検索結果」表で、次のようにします。
作成: 「検索」ページ上部にある「OSSOエージェントの作成」ボタンをクリックします。
編集または表示: ツール・バーの「編集」コマンド・ボタンをクリックして、構成ページを表示します。
削除: 「OSSOエージェント(mod_osso)登録の削除」に進みます。
連結解除: ツールバーの連結解除をクリックして、ページ全体に表を拡張します。
表の再構成: 「表示」メニュー項目を選択して、結果表の表示を変更します。
終了したら変更を適用します(またはページを閉じます)。
有効な管理者の資格証明を持つユーザーは、次の手順で説明するとおり、Oracle Access Managementコンソールを使用して、登録済のOSSOエージェントのあらゆる設定を変更できます。たとえば、終了日を変更したり、管理者の情報を追加する場合があります。
前提条件
Oracle HTTP Serverがクライアント・コンピュータにインストールされて実行中であり、mod_ossoに対して構成されていることを確認してください。
OSSOエージェント登録の閲覧または変更の手順
「システム構成」タブの「Access Manager」セクションから、「SSOエージェント」ノードを展開します。
「OSSOエージェント」ノードをダブルクリックします。
エージェントの検索: 「OSSOエージェント(mod_osso)登録の検索」を参照してください。
「適用」をクリックして変更を送信し(または変更を適用せずにページを閉じます)、「確認」ウィンドウを閉じます。
コンソールのホスト(AdminServer)からosso.confをエージェントのホストのWebサーバーにコピーします。例:
| osso.conf | パス | |
|---|---|---|
| コピー元: AdminServer (コンソール)ホスト | $DOMAIN_HOME/output/$Agent_Name/ | |
| コピー先: エージェントのホストのWebサーバーのmod_ossoディレクトリ・パス: $OHS_dir/osso.conf. | $WebTier_MW_HOME/Oracle_WT1/instances1/config/OHS/ohs1/config/osso.conf |
エージェントをホストしているOAMサーバーを再起動します。
有効な管理者の資格証明を持つユーザーは、次の手順を実行して、Oracle Access Managementコンソールにより登録されたOSSOエージェントを削除できます。
|
注意: エージェントの登録を削除すると、登録のみが削除されるため(関連付けられているホスト識別子、アプリケーション・ドメイン、リソースまたはエージェント・インスタンス自身は削除されません)、同じエージェントが必要になった場合に再登録する必要はありません。ただし、アプリケーション・ドメインおよびその内容を削除すると、「アプリケーション・ドメインおよびその内容の削除」で説明するように、エージェント登録を含むすべての参照オブジェクトが削除されます。 |
前提条件
このエージェントに関連付けられたアプリケーション・ドメイン、リソースおよびポリシーを評価し、別のエージェントを使用するように構成されているのか、削除できるのかを確認してください。
OSSOエージェントの登録を削除する手順
「システム構成」タブの「Access Manager」セクションから、「SSOエージェント」ノードを開き、「OSSOエージェント」ノードを開きます。
「検索」をクリックし、目的の名前を選択します(または、必要に応じて検索を絞り込みます)。
オプション: 希望する名前をダブルクリックして、登録ページを表示します。これが削除するエージェントであることを確認し、ページを閉じます。
エージェント名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。
この項では、Oracle提供のツールを使用したOSSOエージェントのリモート登録について簡単に説明します。
この項では次のトピックを記載しています:
この項では、リモート登録ツールのoamreg.sh (Linux)またはoamreg.bat (Windows)で使用するOSSO登録リクエストについて説明します。太字でハイライト表示されている情報をmod_ossoエージェント用に変更する必要があります。ただし、他のすべてのフィールドはデフォルト値を使用できます。
inbandとoutofbandのどちらのリモート登録モードにも、表24-6に示した入力引数を含むリクエスト・ファイルが必要になります。
表24-6 リモート登録用のOpenSSOリクエスト・ファイル
| テンプレートの対象 | 説明 |
|---|---|
|
OSSOエージェント(mod_osso)の登録 |
$OAM_REG_HOME/input/OSSORequest.xml |
|
その他のテンプレート |
|
|
エージェントの更新: |
$OAM_REG_HOME/input/OSSOUpdateAgentRequest.xml 関連項目: 「エージェントのリモート更新」 |
|
ポリシーの作成: エージェントを登録せずに新しいホスト識別子とアプリケーション・ドメインを作成 |
$OAM_REG_HOME/input/CreatePolicyRequest.xml |
|
ポリシーの更新: 既存のホスト識別子と、(エージェント登録に関連付けられていない)アプリケーション・ドメイン |
$OAM_REG_HOME/input/UpdatePolicyRequest.xml |
表24-7に、OSSOリクエスト・ファイルのOSSORequest.xmlに含まれる要素を示します。
表24-7 リモート登録リクエストのOSSO固有の要素
| 要素 | 説明 | 例 |
|---|---|---|
|
<serverAddress> <agentName> <hostIdentifier> <agentBaseUrl> <autoCreatePolicy> <applicationDomain> <virtualhost> |
すべてのリモート登録リクエスト・テンプレートに共通の要素。 |
表16-8「リモート登録リクエストの共通要素」を参照してください。 |
|
<ssoServerVersion> |
SSOトークン・バージョン値。
|
<ssoServerVersion> >...</ssoServerVersion> > |
|
<OracleHomePath> |
mod_ossoエージェントへのファイル・システム・ディレクトリの絶対パス。 |
<oracleHomePath> $ORACLE_HOME </oracleHomePath> |
|
<updateMode> |
デフォルト: 指定なし |
<updateMode></updateMode> |
|
<adminInfo> |
オプション。 このmod_ossoインスタンスの管理者の詳細。たとえば、アプリケーション管理者などです。 デフォルト: 指定なし |
<adminInfo></adminInfo> |
|
<adminId> |
オプション。 このmod_ossoインスタンスの管理者のログインID。たとえば、SiteAdminなどです。 デフォルト: 指定なし |
<adminId></adminId> |
|
<logoutUrl> |
リモート登録中の消費のためのログアウトURLを含めます。 デフォルト: 指定なし |
<logoutUrl>logout1.html</logoutUrl> |
|
<failureUrl> |
リモート登録中の消費のための失敗URLを含めます。 デフォルト: 指定なし |
<failureUrl>failure1.html</failureUrl> |
OSSOエージェント登録では、次の処理が自動的に行われます。
Oracle Access Managementコンソール用のエージェント・ページの作成
アプリケーションを保護するためのアプリケーション・ドメインと基本ポリシーの作成
実行時にエージェントが利用するように、クライアント側のOSSO構成ファイルを更新します
この項では、OSSOエージェントの帯域内リモート登録を実行するために必要な手順について簡単に説明しています。詳細は、第16章を参照してください。
前提条件
タスクの概要: リモート登録を実行する帯域内の管理者
登録ツールを入手して、環境変数を設定します(「リモート登録ツールの取得および設定」を参照)。
$ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
エージェントとアプリケーション・ドメインに対して一意の値で入力ファイルを作成します(「リモート登録リクエストの作成」を参照)。
登録ツールを実行してエージェントを構成し、リソースに対するデフォルトのアプリケーション・ドメインを作成して、更新したエージェント構成ファイルをコピーします(「帯域内リモート登録の実行」を参照)。
AdminServer(コンソール)ホスト:
$DOMAIN_HOME/output/$Agent_Name/osso.conf
エージェント・ホスト: $OHS_dir/osso.conf上のmod_ossoディレクトリ・パスにコピーします。例:
構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。
帯域外登録という用語は、帯域内および帯域外の管理者の両方の調整およびアクションを含む手動登録を示します。
outofbandモードでは、帯域内の管理者は帯域外の管理者が送信した開始リクエスト・ファイルを使用して、追加処理のために生成された応答ファイルを帯域外の管理者に戻します。帯域外の管理者は、この応答ファイルを入力として使用してリモート登録ツールを実行し、エージェント構成ファイルを更新します。
この項では、OSSOエージェントの帯域外リモート登録を実行するために必要な手順について簡単に説明しています。詳細は、ここで説明する別の章を参照してください。
前提条件
タスクの概要: 帯域外リモート登録(ネットワーク外のエージェント)
帯域外の管理者の手順: 特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。
登録ツールを入手して、環境変数を設定します(「リモート登録ツールの取得および設定」を参照)。
$ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインに一意の値を入力します(「リモート登録リクエストの作成」を参照してください)。
$OAM_REG_HOME/input/OSSORequest.xml
選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。
帯域内の管理者の手順:
登録ツールを入手して、環境変数を設定します(「リモート登録ツールの取得および設定」を参照)。
$ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
登録ツールで帯域外の開始リクエストを使用してエージェントを登録し、帯域外の管理者に戻すレスポンスおよびネイティブ・エージェントの構成ファイルを作成します。「帯域外リモート登録の実行」を参照してください。
osso_Response.xmlは、帯域外の管理者用に生成され、手順3で使用されます。
osso.confは、帯域外の管理者がOSSOモジュールをブートストラップできるように変更されます。
帯域外の管理者: レスポンス・ファイルと登録ツールを使用して、アーティファクトをファイル・システムの適切なディレクトリにコピーします。
osso_Response.xml.
osso.conf
帯域内の管理者: 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
帯域外の管理者の手順: いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証、リソース保護およびアクセスの検証」を参照してください)。
この項では、「エージェントのリモート更新の概要」で説明したリモート登録テンプレートとモードを使用して、OSSOエージェントを更新、検証および削除する方法について説明します。
更新リクエスト・ファイルを使用して、具体的な値をリモート登録ツールoamregに渡します。更新テンプレートと元の登録テンプレートの主な違いは、更新テンプレートの次の点にあります。
表24-8 OSSOリモート登録とリモート更新の相違点
| 相違点 | 要素 |
|---|---|
|
追加 |
変更を追跡する、<startDate>yyyy_mm_dd</startDate>要素 |
|
agent_base_url_portを指定する<homeUrl>要素 |
|
|
省略 |
<hostidentifier> |
|
省略 |
<agentbaseURL> |
OSSOエージェント登録をリモートで更新するには
「リモート登録ツールの取得および設定」の説明に従って、登録ツールを設定します。
エージェントの更新:
OSSOUpdateAgentRequest.xmlテンプレートを使用して、更新リクエストを作成します。
エージェントをホストしているコンピュータで、agentUpdateモードで次のコマンドを実行し、入力ファイルとして独自の*Request*.xmlを指定します。例:
./bin/oamreg.sh agentUpdate input/*OSSOUpdateAgentRequest.xml
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージで成功したことを確認します。
エージェント・ホストのosso.confに再配置します。
再配置元AdminServer (コンソール)ホスト: /rreg/output/Agent_Name/
再配置先はmod_ossoディレクトリ・パス(エージェント・ホストのWebサーバー$OHS_dir/osso.conf)です。
このエージェントをホストするOAMサーバーを再起動します。
エージェントの検証:
エージェント・ホストで、agentValidateモードで次のコマンドを実行します。例:
./bin/oamreg.sh agentValidate agentname
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージで成功したことを確認します。
エージェントの削除:
エージェントをホストしているコンピュータで、次のagentDeleteコマンドを実行します。例:
./bin/oamreg.sh agentDelete agentname
求められた場合に登録管理者ユーザー名およびパスワードを入力します。
画面のメッセージで成功したことを確認します。
成功: 画面のメッセージを確認します。
AgentDeleteプロセスは正常に完了しました。
この項では次のトピックを記載しています:
OSSOエージェント(mod_osso 10g)では、パートナ・アプリケーションはログアウト制御もOAMサーバー(シングル・サインオン・サーバー)に引き渡します。ユーザーが1つのアプリケーションをログアウトすると、そのユーザーは自動的に他のすべてのアプリケーションをログアウトします。
|
注意: OSSOエージェントを使用する既存アプリケーションのログアウトURL構成に変更を加える必要はありません。 |
プロセス概要: mod_ossoによる集中ログアウト
アプリケーションで「ログアウト」をクリックすると、ログアウト用のページが表示されます。
ユーザーが正常にサインオフすると、集中ログアウト・ページにリストされた各アプリケーションのアプリケーション名の横にチェック・マークが表示されます。
アプリケーション名の横に壊れたイメージが表示された場合は、ログアウトが正常に行われなかったことを示します。
セッション内でアクティブにされたすべてのアプリケーションにチェック・マークが表示されると、「戻る」をクリックすればログアウトを開始したアプリケーションに戻ることができます。
ログアウト時にカスタムmod_ossoエージェントCookieを削除します。
OSSOサーバーのcookieには、パートナIDのリストが含まれます。
処理の概要: 1つのパートナ・アプリケーションからユーザーがログオフする場合
OSSOサーバーがログアウトURLのリストを取得します。
OSSOサーバーは自身のcookieを消去します。
OSSOサーバーはカスタマイズされたJSPページ(OSSOサーバー上でホストされる)にリダイレクトし、リクエストにあるログアウトURLのリストを渡します。
JSPページは、チェック・マークのイメージ・タグをいくつか含むログアウトURLを読み込み、読込みの結果として、mod_ossoインスタンスのcookieが消去されます。
ただし、ユーザーのログアウト時、認証レスポンス設定によってOAMサーバーで設定されたカスタムCookieの一部が削除されない場合があります。ただし、oam-config.xmlを編集して、ユーザーがOAMからログアウトするときに、認証中に設定されたカスタムCookieを削除するようにOAMサーバーを構成できます。たとえば、Oracle E-Business Suiteと統合している場合、アプリケーションでORASSO_AUTH_HINT Cookieが設定され、CookieNamesリストに含まれている必要があります(UCM Cookieなど)。
構文(PluginClass" Type=...)の下:
<Setting Name="CookieDelMap" Type="htf:map">
<Setting Name="CookieNames" Type="xsd:string">COOKIE_NAME</Setting>
</Setting>
次の手順に従ってCookieDelMap要素を編集し、ユーザーのログアウト時に削除するCookieNamesを単独の値として、またはカスタムCookieのカンマ区切りリストとして追加します。この手順では、oam-config.xmlファイル・バージョンを増分して、変更をすべての管理対象サーバーに再起動なしで伝播する方法も説明しています。
|
注意: 作業は慎重に行ってください。通常、oam-config.xmlファイルは編集しないことをお薦めしています。これは数少ない例外です。 |
ログアウト時にカスタムmod_osso Cookieを削除する手順
$DOMAIN_HOME/config/fmwconfig/oam-config.xmlをバックアップします。
oam-config.xmlで、CookieDelMap要素およびCookieNamesを追加(または編集)します。例:
<Setting Name="ResponsePluginSetting" Type="htf:map">
<Setting Name="PluginClass" Type=... </Settings>
<Setting Name="CookieDelMap" Type="htf:map">
<Setting Name="CookieNames" Type="xsd:string">ORASSO_AUTH_HINT
</Setting>
</Setting>
</Setting>
構成バージョン: 次に示すように、Version xsd:integerをこの例の最終行の値まで増分します(既存の値(ここでは25) + 1)。
次に例を示します。
<Setting Name="Version" Type="xsd:integer">
<Setting xmlns="http://www.w3.org/2001/XMLSchema"
Name="NGAMConfiguration" Type="htf:map:>
<Setting Name="ProductRelease" Type="xsd:string">11.1.1.3</Setting>
<Setting Name="Version" Type="xsd:integer">25</Setting>
</Setting>
ファイルを保存します。
Access Managerを使用するレガシーOSSOエージェントについての追加情報は、表24-9を参照してください。
表24-9 このガイドに記載されたOSSOのその他の情報
| トピック | ロケーション |
|---|---|
|
コンポーネントのロガー |
表8-3「Oracle Access Managementのサーバー側コンポーネントのロガー」 |
|
DMSコンソール内のOSSOメトリック |
|
|
セッションの管理 |
第17章「Access Managerセッションのメンテナンス」 |
