ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11
g
リリース2 (11.1.2.2) for All Platforms
B69533-09
目次
索引
前
次
表一覧
1-1 Access Managerのデプロイメント・タイプ
1-2 Access Manager 11.1.2の機能
1-3 Access Manager 11.1.2で使用できない機能
1-4 Oracle Access Managementのインストール後のタスク
2-1 「ようこそ」ページのセクションとショートカット
2-2 ページを閉じるためのコントロール
2-3 ページ要素と説明
2-4 選択タスクとコントロール
2-5 ログイン・ページの言語コード
2-6 Oracle Access Managementでの言語選択方法
2-7 OAM_LANG_PREF Cookie
2-8 言語設定のアプリケーション統合
3-1 構成オプション
3-2 共通のサービス
3-3 共通設定
3-4 共通のコヒーレンス設定
3-5
4-1 管理を委任するためのロール
5-1 Oracle Access Managementのデータ・ソース
5-2 Oracle Access Managementのサービスのデータ・ソース
5-3 ユーザー・アイデンティティ・ストアの要素
5-4 Access Managerキーと格納
5-5 Access Managerとセキュリティ・トークン・サービスのキーストア
6-1 サーバーの再起動が必要になる条件
6-2 OAMサーバー・インスタンス設定
6-3 個別のOAMサーバーのOAMプロキシ設定
6-4 個別のOAMサーバーのデフォルトのCoherence設定
7-1 自動ポリシー同期: レプリカの状態
7-2 アイドル・タイムアウトに関するマルチデータ・センターのポリシー構成
7-3 セッション同期とフェイルオーバーのシナリオ
7-4 oamMDC.propertiesのプロパティ
7-5 partnerInfo.propertiesのプロパティ
8-1 ロギング・ファイル
8-2 ロギングのデフォルト
8-3 Oracle Access Managementのサーバー側コンポーネントのロガー
8-4 Oracle Access Management共有サービス・エンジン・コンポーネントのロガー
8-5 Oracle Access Management Foundation APIコンポーネントのロガー
8-6 ODLレベルとJavaレベルの対応
8-7 セキュリティ・トークン・サービスとIdentity Federationのロガー
9-1 Oracle Business Intelligence Enterprise EditionのOAMに関するレポート
9-2 Access Manager管理監査イベント
9-3 Access Managerランタイム監査イベント
9-4 RESTラインタイム監査イベント
9-5 Mobile and Socialランタイム監査イベント
9-6 Identity Federationの監査イベントのカテゴリ
9-7 Identity Federationのセッション管理イベント
9-8 Identity Federationのプロトコル・フロー・イベント
9-9 Identity Federationのサーバー構成
9-10 Identity Federationのセキュリティ・イベント
9-11 セキュリティ・トークン・サービスの構成管理操作
9-12 セキュリティ・トークン・サービス固有のランタイム・イベント
9-13 監査構成要素
10-1 ロギング・レベル
10-2 コンポーネントのログ構成ファイル名
10-3 ログ・ライター
10-4 最初の複合リストのグローバル・パラメータ
10-5 ロギングがアクティブかどうかを決定する要因
10-6 必須のログ構成ファイル・パラメータ
10-7 ログ・データ・ファイル構成パラメータ
10-8 モジュール固有ロギングしきい値に構成できるParamNameの値
11-1 Accounts_Locked_Outレポートのフィールド
11-2 Authentication_statisticsレポートのフィールド
11-3 AuthenticationFromIPByUserレポートのフィールド
11-4 AuthenticationPerIPレポートのフィールド
11-5 AuthenticationStatisticsPerServerレポートのフィールド
11-6 すべてのエラーと例外レポートのフィールド
11-7 認証失敗レポートのフィールド
11-8 認証履歴レポートのフィールド
11-9 認可履歴レポートのフィールド
11-10 同じIPの複数ログイン・レポートのフィールド
12-1 OAMサーバー・メトリック: 「サーバー・プロセス概要」タブ
12-2 OAMサーバー・メトリック: 「セッション操作」
12-3 OAMサーバー・メトリック: 「サーバー操作」タブ
12-4 OAMプロキシ・メトリック
12-5 OAMプロキシのチューニング・パラメータ
12-6 OpenSSOプロキシ・サーバー・イベント
12-7 OpenSSOプロキシ・メトリック: サーバー
12-8 OpenSSOプロキシ・メトリック: エージェント
13-1 「ファーム」ページのセクション
13-2 選択したノードとターゲットに対して表示されるページ
13-3 Fusion Middleware Controlの「パフォーマンス概要」のサマリー
13-4 Access Managerコンポーネント・メトリック
13-5 STSコンポーネント固有のメトリック
13-6 「パフォーマンス・サマリー」ページのステータスとコントロール
13-7 OAMで使用可能なログとFusion Middleware Controlの機能
13-8 「ログ構成」ページの「ログ・レベル」タブ
13-9 ログ・ファイル要素
13-10 Fusion Middleware ControlのOAMログ・メッセージ検索コントロール
13-11 システムMBeanブラウザ
13-12 Access Managerとセキュリティ・トークン・サービスがデプロイするMBeans
13-13 システムMBeanブラウザ
13-14 ファーム・トポロジ
14-1 「Access Managerの設定」: 「ロード・バランサ」
14-2 サーバー・エラー・モード
14-3 エラーのトリガー条件、モード、メッセージ・コード
14-4 外部エラー・コード、トリガー条件、推奨メッセージ
14-5 「Access Managerの設定」: 「SSO」
14-6 サマリー: 簡易モードと証明書モード
14-7 サーバー共通のOAMプロキシ・セキュア通信の設定
14-8 ポリシー評価キャッシュ
15-1 エージェント・タイプ
15-2 エージェントの登録とSSOサポート
15-3 Access Managerの実行時の処理の概要
15-4 エージェント登録時に生成されるキーとポリシー
15-5 エージェント登録に関連付けられるアーティファクト
15-6 生成されたアーティファクトのコピー
15-7 リモート登録の方法
15-8 リモート登録でサポートされない機能
15-9 エージェント登録および構成の更新アーティファクト
16-1 11gおよび10g OAMエージェントの作成ページ上の要素
16-2 ユーザー定義のWebゲート・パラメータ
16-3 拡張された11gおよび10g Webゲート/アクセス・クライアント登録ページの要素
16-4 OAMエージェントの「検索」コントロール
16-5 oamreg内で設定する環境変数
16-6 リモート登録コマンドの引数: モード
16-7 リモート登録コマンドのサンプル
16-8 リモート登録リクエストの共通要素
16-9 OAMエージェント用のリモート登録リクエスト・テンプレート
16-10 拡張されたOAMエージェントのリモート登録リクエスト内の要素
16-11 リモート登録に必要な変数
16-12 帯域内の管理者が帯域外の管理者に戻すファイル
16-13 リモート・エージェント更新のモードと入力ファイル
16-14 相違点: OAMエージェント更新と登録リクエスト
17-1 セッション・ライフサイクルの状態
17-2 状態変更のためのセッション・チェック
17-3 セッションの削除
17-4 アプリケーション・ドメイン固有のオーバーライド
17-5 セッションの内容: 単一の認証スキーム
17-6 セッションの結果: 複数の認証スキーム
17-7 グローバル・セッション設定
17-8 アプリケーション固有セッションのタイミング・オーバーライド
17-9 セッション管理のコントロールと結果表
18-1 サマリー: SSOのコンポーネント
18-2 SSOの実装の概要
18-3 Access Managerのグローバルな共有ポリシー・コンポーネント
18-4 Access Managerのポリシー・コンポーネント
18-5 条件タイプ
18-6 Access Managerで保護されたリソースへのログイン処理
18-7 DCCデプロイメントのサポート
18-8 SSO Cookies
19-1 Access Managerのリソース・タイプの10gとの比較
19-2 リソース・タイプの定義
19-3 ホスト識別子の例
19-4 ホスト識別子の定義
19-5 DCCとECCの比較
19-6 ネイティブ認証モジュール
19-7 ネイティブのKerberos認証モジュールの定義
19-8 ネイティブのLDAP認証モジュールの定義
19-9 X509認証モジュールの定義
19-10 単純フォーム認証とマルチステップ認証
19-11 「一般」タブ
19-12 「新規ステップの追加」のエントリ、ステップの結果表、「詳細」セクション
19-13 各種プラグインのパラメータの詳細
19-14 「ステップ編成」サブタブ
19-15 X509の「ステップの詳細」(KEY_CERTIFICATE_ATTRIBUTE_TO_EXTRACT)
19-16 カスタマイズされたステップアップ認証モジュール内のステップとプラグイン
19-17 カスタム・プラグインの管理アクション
19-18 プラグイン・ステータス表
19-19 XMLメタデータ・ファイルから抽出されたプラグイン詳細の例
19-20 認証スキームの定義
19-21 事前構成済認証スキーム
19-22 事前構成済スキームのチャレンジ・パラメータ
19-23 認証スキームのユーザー定義チャレンジ・パラメータ
19-24 拡張ルールの属性
19-25 リクエスト・コンテキスト・データ
19-26 ロケーション・コンテキスト・データ
19-27 セッション・コンテキスト・データ
19-28 ユーザー・コンテキスト・データ
19-29 拡張ルールのサンプル
19-30 10g/11g暗号化Cookieのチャレンジ・パラメータ
19-31 資格証明コレクタのパスワード・ページ
19-32 パスワード管理フォームと機能
19-33 パスワード・ポリシーの要素
19-34 認証用の資格証明コレクタと関連フォームの指定
19-35 LDAPプロバイダ用のオラクル社提供LDIFのロケーション
19-36 パスワード・ポリシーのキー・パスワード属性
19-37 ユーザー・パスワード・ステップの詳細
19-38 POSTデータの保持/リストアに対するリソースWebgateのサポート
19-39 POSTデータ・ハンドリングに対する資格証明コレクタのサポート
19-40 認証POSTデータ・ハンドリングをサポートする認証スキーム
19-41 認証POSTデータ・ハンドリングに必要なパラメータ
19-42 ECCとDCC: 長いURLの処理
19-43 長いURLの処理をサポートする認証スキーム
19-44 長いURLの処理に必要なパラメータ
20-1 リソース定義の要素
20-2 HTTPリソースのサンプルのURL値
20-3 リソースURLパターンでサポートされるワイルドカード(優先順)
20-4 サンプル・リソースURL
20-5 リクエストされたURLのパターン一致
20-6 問合せ文字列一致: 例
20-7 リソース評価の結果
20-8 アプリケーション・ドメイン内のリソースの検索要素
20-9 認証ポリシーの要素および説明
20-10 認可ポリシーの要素および説明
20-11 レスポンス要素
20-12 シングル・サインオンのネームスペース・リクエスト変数
20-13 シングル・サインオンのネームスペース・セッション変数
20-14 ネームスペース・ユーザー変数
20-15 単純なレスポンスおよび説明
20-16 複雑なレスポンス
20-17 新しいOSSOのインストール: 保護されたポリシー・レスポンス(ヘッダー)
20-18 認可ポリシーの「条件」タブ
20-19 「条件の追加」ウィンドウの要素
20-20 「アイデンティティの追加」の要素
20-21 「検索フィルタの追加」の要素
20-22 Access ManagerのLDAP検索フィルタの例
20-23 一時的条件の詳細
20-24 属性タイプ条件を必要とするアクセス条件
20-25 属性条件の要素
20-26 組込みリクエストの属性名
20-27 組込みセッションの属性名
20-28 属性条件のデータ(条件の集約)
20-29 認可ポリシーの「ルール」の要素
20-30 式モードの「ルール」タブ
20-31 認可ルールの式の演算子
20-32 リモート・ポリシー管理のモード、テンプレートおよびフラグ
20-33 リモート管理テンプレートの要素
21-1 ユーザー操作: テスター・コンソール・モードとコマンド行モードの操作
21-2 アクセス・テスターでサポートされているシステム・プロパティ
21-3 アクセス・テスターのコンソール・パネル
21-4 アクセス・テスター・パネルのコマンド・ボタン
21-5 その他のアクセス・テスター・ボタン
21-6 アクセス・テスターのメニュー
21-7 接続パネルの情報
21-8 保護リソースURIパネルのフィールドとコントロール
21-9 アクセス・テスターの「ユーザー・アイデンティティ」パネルのフィールドとコントロール
21-10 アクセス・テスターの取得リクエスト・オプション
21-11 スクリプト作成コマンド
21-12 テスト・スクリプト制御パラメータ
21-13 テスト・スクリプト実行コマンド
21-14 統計ドキュメントの不一致結果の理由
22-1 集中ログアウトの状況
22-2 登録後のログアウトの詳細(ObAccessClient.xml)
23-1 機能: Access Managerを使用するOpenSSOエージェント
23-2 OpenSSOポリシー移行
23-3 OpenSSOのAccess Managerへの依存
23-4 Access ManagerによるOpenSSOの処理
23-5 「新規OpenSSOエージェント」ページの要素
23-6 OpenSSOアーティファクトの再配置
23-7 拡張されたOpenSSOエージェント登録の要素
23-8 リモート登録用のOpenSSOリクエスト・ファイル
23-9 OpenSSOエージェントのリモート登録リクエスト
23-10 J2EEリクエスト・ファイルのプロパティ・ファイルに対するマッピング
23-11 Webリクエスト・ファイルのプロパティ・ファイルに対するマッピング
23-12 OpenSSOリモート登録とリモート更新の相違点
23-13 このガイドに記載されたOpenSSOのその他の情報
24-1 Access Manager使用時のOSSOエージェント
24-2 11g Access Manager SSOとOSSO 10gコンポーネントのサマリー
24-3 「OSSOエージェントの作成」ページの要素
24-4 OSSOアーティファクトの再配置
24-5 展開されたOSSOエージェントの要素
24-6 リモート登録用のOpenSSOリクエスト・ファイル
24-7 リモート登録リクエストのOSSO固有の要素
24-8 OSSOリモート登録とリモート更新の相違点
24-9 このガイドに記載されたOSSOのその他の情報
25-1 10g Webゲートのインストールの比較
25-2 比較: Access Manager 11g対10g
25-3 Access Manager 11gと10gのポリシー・モデルの比較
25-4 Access Manager 11gで使用する10g Webゲートのインストールの準備
25-5 end_urlパラメータ指定の例
28-1 IIS 7 Webgate Windows Server 2008
30-1 サポートされているSAML 2.0名前IDフォーマット
30-2 アイデンティティ・プロバイダとして機能するIdentity FederationのためのSAML 2.0 URL
30-3 サービス・プロバイダとして機能するIdentity FederationのためのSAML 2.0 URL
30-4 サポートされているSAML 1.1名前IDフォーマット
30-5 アイデンティティ・プロバイダとして機能するIdentity FederationのためのSAML 1.1 URL
30-6 サービス・プロバイダとして機能するIdentity FederationのためのSAML 1.1 URL
30-7 アイデンティティ・プロバイダとして機能するIdentity FederationのためのOpenID 2.0 URL
30-8 サービス・プロバイダとして機能するIdentity FederationのためのOpenID 2.0 URL
30-9 Identity Federation設定の構成
30-10 Identity Federationの実装
31-1 デフォルト・パートナ・プロファイル
31-2 アイデンティティ・プロバイダ・パートナの設定
31-3 Google OpenIDパートナの属性
31-4 Yahoo OpenIDパートナの属性
31-5 IdPのプロバイダ検索で使用される要素
31-6 サービス・プロバイダ・パートナの設定
31-7 サンプルSP属性マッピング
31-8 属性マッピングの値式
31-9 サンプルIdP属性マッピング
31-10 フェデレーション認証方式からAccess Manager認証スキームへのデフォルト・マッピング
31-11 属性共有プラグインの構成パラメータ
31-12 属性共有プラグインがアクセスできるセッション属性
32-1 コンソールの「フェデレーション設定」
32-2 フェデレーションの一般設定
32-3 フェデレーションのプロキシ設定
32-4 フェデレーションのキーストア設定
33-1 FederationSchemeの要素の定義
33-2 FederationPluginのステップ
33-3 FederationPluginの編成
33-4 OIFSchemeの定義
33-5 OIFMTLDAPPluginのステップ
33-6 ポリシー・レスポンスの要素
34-1 セキュリティ・トークン・サービス11gのインフラストラクチャ
34-2 セキュリティ・トークン・サービスの用語
34-3 統合されたOracle Web Services Manager
36-1 Security Token Serviceの設定
36-2 WSS KerberosポリシーのためのOracle WSM以外のクライアントの構成
37-1 実行時に使用されるセキュリティ・トークン・サービスの公開鍵
37-2 キーストアMBean
37-3 WS-Trust通信のパートナ・キー
37-4 セキュリティ・トークン・サービスの証明書検証の条件
37-5 証明書検証が成功するための要件
38-1 検証テンプレートの検索
38-2 発行テンプレートの要件
38-3 発行テンプレート: 一般詳細
38-4 発行プロパティ: ユーザー名トークン・タイプ
38-5 発行プロパティ: SAMLトークン・タイプ
38-6 「セキュリティ」の詳細: SAMLトークン
38-7 発行テンプレート: 属性マッピング、SAMLトークン
38-8 検証テンプレートのプロトコル
38-9 新規検証テンプレート: 一般詳細
38-10 新規検証テンプレート: 認証の詳細
38-11 新規検証テンプレート: トークン・マッピング
38-12 「エンドポイント」ページ
38-13 「条件」タブ: トークン発行ポリシー
38-14 新規カスタム・トークン要素
38-15 カスタム・トークン検索要素およびコントロール
39-1 セキュリティ・トークン・サービス・パートナ
39-2 セキュリティ・トークン・サービス・クライアント
39-3 セキュリティ・トークン・サービス・パートナ・エントリ
39-4 セキュリティ・トークン・サービス・パートナ・プロファイルのデータ
39-5 パートナ・タイプのパートナ要素
39-6 セキュリティ・トークン・サービス・パートナの要素
39-7 プロファイル: 一般
39-8 リクエスタ・プロファイル: トークンと属性
39-9 リライイング・パーティ・プロファイルの要件
39-10 「トークンと属性」要素: 発行局
39-11 発行局の「トークン・マッピング」要素
41-1 インストールしたコンパニオン・サービスに基づくMobile and Socialの機能
41-2 モバイル・サービスのモバイルおよび非モバイル認証サービス・プロバイダ
41-3 Mobile and Socialモバイル・サービス・クライアントSDKのAndroid機能、iOS機能およびJava機能
41-4 Mobile and Socialサーバーのトークン要件
41-5 Mobile and Socialがネイティブにサポートするアイデンティティ・プロバイダ
42-1 事前構成済の認証サービス・プロバイダ
42-2 Access Manager認証サービス・プロバイダのデフォルト属性
42-3 認証サービス・プロバイダのWebゲート・エージェントのデフォルト属性
42-4 JWT認証サービス・プロバイダのデフォルト属性
42-5 JWT-OAM認証サービス・プロバイダのデフォルト属性
42-6 Access Manager認可サービス・プロバイダのデフォルト属性
42-7 認可サービス・プロバイダのWebゲート・エージェントのデフォルト属性
42-8 ユーザー・プロファイル・サービス・プロバイダのデフォルト属性の名前と値
42-9 ユーザー・プロファイル・サービス・プロバイダのデフォルト属性の名前と値
42-10 認証サービス・プロファイルのデフォルトの一般プロパティ
42-11 トークン・サポートおよびURIカテゴリ情報のデフォルトのプロパティ
42-12 認可サービス・プロファイルのデフォルトの一般プロパティ
42-13 ユーザー・プロファイル・サービス・プロファイルのデフォルトの一般プロパティ
42-14 セキュリティ・ハンドラ・プラグインの一般プロパティ
42-15 アプリケーション・プロファイルの一般プロパティ
42-16 サービス・ドメインの一般プロパティ
42-17 アプリケーション・プロファイル選択のプロパティ
42-18 サービス・プロファイル選択のプロパティ
42-19 ユーザー・プロファイル・サービス保護のプロパティ
42-20 認可サービス保護のプロパティ
42-21 Mobile and SocialでサポートされるOAAMポリシー
42-22 OAAMとMobile and Socialの用語の対応
43-1 OpenIDプロトコルの属性
43-2 OAuthプロトコルの属性
43-3 Googleが返すユーザー属性
43-4 Yahooが返すユーザー属性
43-5 Foursquareが返すユーザー・プロファイル属性
43-6 Windows Liveが返すユーザー・プロファイル属性
43-7 サービス・プロバイダ・インタフェースのプロパティ
43-8 アカウント・リンク・プロパティ
44-1 Oracle Access Manager 11gR1 PS1認証サービス・プロバイダ用の属性の設定
46-1 ユーザー・プロファイル・リソース・サーバー: リソース・カテゴリ
46-2 ユーザー・プロファイル・リソース・サーバー: スコープ設定
46-3 OAuthサービス・プロファイル構成の属性
46-4 モバイル・クライアント属性名と値
46-5 Webクライアント属性名と値
46-6 Access ManagerのOAuthサービス・プロバイダ属性
46-7 ユーザー・プロファイル・サービス属性
46-8 OAuthサーバー設定属性
46-9 デフォルトOAuth JKSキーストア・ファイルおよび設定ファイル
48-1 アイデンティティ・コンテキスト・スキーマ属性
48-2 アイデンティティ・コンテキスト操作のマッピング
49-1 RSA機能に対するAccess Managerのサポート
49-2 サポートされないRSA機能
49-3 インストールおよび構成のガイドライン
50-1 サンプル名
51-1 JBossエージェントの構成
52-1 Access Managerのコンポーネントの要件
52-2 この統合のためのMicrosoftの要件
52-3 Microsoft SharePoint Serverの「Webアプリケーションの作成: {0}」オプション
52-4 SharePoint Serverのサイト・コレクションをホストするWebアプリケーションの作成
53-1 ヘッダー変数による偽装要件
55-1 ヘッダー変数を使用するためのログイン・モジュール・スタック
55-2 ヘッダー変数を使用するためのログイン・モジュール・スタック
56-1
56-2
56-3
A-1 addOAMSSOProviderコマンド行引数
B-1 ローカライズされたメッセージの言語
C-1 importcertコマンドの構文
D-1 IAMSuiteAgentの11gおよび10g Webgateとの比較