Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
Windows環境では、ユーザー認証の後、認証アプリケーションはそのユーザーのアイデンティティを偽装できます。暗号化の主な目的は、クライアントのアイデンティティに対してアクセス・チェックをトリガーすることです。
この章では、IISで有効になっている偽造をオーバーライドするようにAccess Managerで偽装を有効にする方法について説明します。この項の内容は次のとおりです。
Access ManagerとOutlook Webアプリケーション(OWA) 2010との統合をサポートするようになりました。
この章では、次の機能について説明します。
この項では、この章で説明する統合についての次の情報を提供します。
サービスは、クライアントのセキュリティ・コンテキストで実行すると、特定の範囲についてクライアントとして機能します。ユーザーの認証後、サービスは、偽装経由でそのユーザーのアイデンティティを受け取ります。サービスのスレッドの1つは、アクセス・トークン(偽装トークンとも呼ばれます)を使用して、クライアントがアクセスできるオブジェクトへのアクセス権を取得します。アクセス・トークンは、クライアントの資格証明を表す保護されたオブジェクトです。
偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。サーバーがクライアントを偽装するとき、そのサーバーによって実行される操作はすべて、そのクライアントの資格証明を使用して実行されます。
偽装により、サーバーは、クライアントができることをでき、クライアントができないことはできない、という状況になります。リソースへのアクセスは、そのリソースに対してクライアントが持つ権限に応じて制限したり拡張したりできます。偽装には、クライアントとサーバーの両方の参加が必要です。クライアントは、サーバーが自分のアイデンティティを使用することを許可し、サーバーはクライアントのアイデンティティをプログラムで明示的に実装する必要があります。
偽装が終了すると、スレッドはプライマリ・トークンを使用して、クライアントのセキュリティ・コンテキストではなくサービス独自のセキュリティ・コンテキストで動作します。プライマリ・トークンは、プロセスに関連付けられているユーザー・アカウント(アプリケーションを起動したユーザー)のセキュリティ・コンテキストを示します。
サービスは、サービス独自のアカウントで実行し、サービス独自の権限を持つユーザーとして動作します。たとえば、オペレーティング・システムとともにインストールされたシステム・サービスは、ローカル・システム・アカウントで実行されます。その他のサービスは、ローカル・システム・アカウントで実行するように構成することも、ローカル・システム上またはActive Directory内の別のアカウントで実行するように構成することもできます。
IIS Webサーバーは、偽装機能を提供します。ただし、OAMサーバーは、IISの認証機能、認可機能および偽装機能をオーバーライドします。詳細は、次の項の「Windows偽装に対するAccess Manager 11gのサポートについて」を参照してください。
Windows偽装のサポートを有効にして、保護対象アプリケーションに対して追加のアクセス制御を提供することができます。信頼できるユーザーをWebgateにバインドして、認証ルールに偽装アクションが含まれるアプリケーション・ドメインによりアプリケーションを保護します。認証プロセス中、保護対象アプリケーションは偽装トークンを作成します。
詳細は、「ヘッダー変数による偽装の有効化」を参照してください。ヘッダー変数を使用して偽装を実装するための前提条件と詳細について説明します。
これは、Windows偽装機能を使用してサポートされます。Outlook Web Access (OWA)は、Exchangeメール・サービスへのWebアクセスを提供し、次のいずれかで構成できます。
Exchangeサーバーと同じホスト上にないIIS Webサーバー(フロントエンド・サーバーとも呼ばれます)
Exchangeサーバーと同じホスト上にあるIIS Webサーバー(バックエンド・サーバーとも呼ばれます)
フロントエンド・サーバー構成では、フロントエンドOWAサーバーがユーザーを認証し、ユーザーのメールボックスをホストするバックエンドExchangeサーバーを決定し、そのバックエンドExchangeサーバーにリクエストを取り次ぎます。追加で渡される資格証明情報はありません。委任も行いません。バックエンドExchangeサーバー上に偽装を設定することにより、このExchangeサーバーは、アクセスの付与に際して事前に資格証明を要求する必要がなくなります。
詳細は、「Outlook Webアプリケーション(OWA)に対する偽装の設定」を参照してください。
この章の例では、OAMサーバーとMicrosoft Exchange Server 2010を統合するための偽装の設定を示しています。原則は、アプリケーションを問わず共通です。
この章で特定のバージョンおよびプラットフォームについて言及している場合、それらは例示のみの目的で記載されています。Access Managerの最新の動作確認情報は、次のOracle Technology Networkを参照してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
ヘッダー変数を使用して偽装を有効にするには、次の手順を実行する必要があります。
OAMサーバーでWindows偽装を実装する前に、環境を準備して動作を確認します。
表53-1に、ヘッダー変数による偽装を有効化する場合のAccess Managerプラットフォーム要件を示します。
表53-1 ヘッダー変数による偽装要件
項目 | プラットフォーム |
---|---|
10g Webgate (および偽装dll) |
Microsoft IIS 7.xおよびWindows Server 2008 |
偽装dll |
Webgate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationModule.dll
|
Kerberos Key Distribution Center (KDC)およびActive Directory |
Windows Server 2008 |
クライアントおよびサーバー・マシン |
|
セキュリティ・コンテキスト |
オペレーティング・システムとして動作する権限が備わっている必要があります。 注意: IWAM_Machineは推奨されません。 |
相互認証が必要 |
相互認証はリモートでサポートされます。 |
HeaderVarとユーザー・プロファイル属性のどちらを使用して偽装を有効にするかにかかわらず、戻り値はActive Directoryに含まれる信頼できるユーザーである必要があります。この特別なユーザーは、偽装以外には使用しないでください。
次の手順例では、SPPSImpersonatorを新規オブジェクト - ユーザーとして使用します。SPPSImpersonatorはSharePoint偽装を示すので、OWAImpersonatorも使用できます。環境はユーザーによって異なります。
Microsoft Exchange Server 2010インストールをホストするコンピュータ上の環境に対して次の手順を実行してください。
Windows 2008: 「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に選択します。
「Active Directoryユーザーとコンピュータ」ウィンドウで、左ペインのツリーで「ユーザー」を右クリックし、「新規作成」→「ユーザー」の順に選択します。
「新規オブジェクト - ユーザー」というペインの「名」フィールドに、覚えやすい名前としてSPPSImpersonatorなどを入力します。
この同じ文字列を「ユーザー ログオン名」フィールドにコピーし、「次へ」をクリックします。
次のパネルで、パスワードの選択と確認用の再入力を求められます。
注意: 信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。 |
オペレーティング・システムの一部として機能する権限を信頼できるユーザーに与える必要があります。
使用する環境に該当する手順を実行してください。
Windows 2008: 「スタート」→「プログラム」→「管理ツール」→「ローカル セキュリティ ポリシー」の順に選択します。
Webgateがインストールされているコンピュータに適用されるグループ・ポリシー・オブジェクトを変更する必要があります。
左ペインのツリーで、「ローカル ポリシー」の横のプラス・アイコン(+)をクリックします。
左ペインのツリーで「ユーザー権利の割り当て」をクリックします。
右ペインで「オペレーティング システムの一部として機能」をダブルクリックします。
「ユーザーまたはグループの追加」をクリックします。
「ユーザーまたはグループの追加」パネルで、「ユーザーとグループ名」テキスト・ボックスに信頼できるユーザーのユーザー・ログオン名(この例ではMicrosoft Exchange Server 2010 Impersonator)を入力し、「OK」をクリックして変更を登録します。
信頼できるユーザーの認証資格証明を提示して、ここで説明するように、信頼できるユーザーをWebgateにバインドする必要があります。
次の手順では、10g WebgateをAccess Managerに登録していることを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
Oracle Access Managementコンソールに移動します。
例:
http://hostname:port/oamconsole
ここで、hostnameはOracle Access Managementコンソールをホストしているコンピュータの完全修飾DNS名、portはOAMサーバー用に構成されたリスニング・ポート、oamconsoleはOracle Access Managementコンソールです。
Oracle Access Managementコンソールから、次を開きます。
この統合に対して変更が必要な10g Webgate登録を見つけます。
「すべて」が有効になっているものを見つける: 「状態」で「すべて」を選択し、「検索」ボタンをクリックします。結果リスト内の目的のWebgate名をクリックします。
Webgate登録ページで、事前に作成している信頼できるユーザー・アカウントのSharePointユーザー名とパスワードを入力します。
「適用」をクリックして変更をコミットします。
Webgateと信頼できるユーザーのバインドが作成されます。これで、Webgateは、要求に応じて偽装を提供できるようになりました。要求は、偽装用に作成されたアプリケーション・ドメインの認可成功アクションによって作成されます。
OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります。それには、ここでの説明および図53-4で示されているように、認可ポリシーにレスポンス(ヘッダー・タイプ・レスポンス)を追加する必要があります。
次の手順では、登録済の10g Webgateに対してアプリケーション・ドメインが作成されていることを前提としています。この例のアプリーション・ドメインはMyImpersonationDomainです。環境はユーザーによって異なります。
アプリケーション・ドメインに偽装アクションを追加するには(headerVarタイプ)、次の手順に従います。
Oracle Access Managementコンソールから、次のように移動します。
「アプリケーション・ドメイン」タブで「検索」をクリックします。
OWA2010アプリケーション・ドメイン(偽装に関連するアプリケーション・ドメイン)を開きます。
次のように移動します。
「追加」ボタン、「レスポンスの追加」の順にクリックします。
フォームに次のように入力します。
「タイプ」リストから「ヘッダー」を選択します。
「名前」フィールドに、このレスポンスの一意の名前を入力します。たとえば、IMPERSONATEと入力します。
「値」フィールドに、このレスポンスの値を入力します。たとえば、$user.useridと入力します。
「追加」、「適用」の順にクリックして、変更を送信します。
このレスポンスは、2つ目のWebgateリクエスト(認可用)に使用されます。
IISは、IISImpersonationModule.dll
をIIS構成に追加することで構成できます。
IISに対してImpersonationModuleを構成して登録するには:
「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
IIS 7.xの左ペインで、ホスト名をクリックします。
中央ペインのIISヘッダーで、「モジュール」をダブルクリックします。
右ペインで「ネイティブ モジュールを構成」をクリックして「登録」をクリックします。
ウィンドウに、モジュール名(たとえば、Oracle偽装モジュール)を入力します。
「パス」フィールドに、IISImpersonationModule.dll
へのフルパスを入力します。
デフォルトでは、パスは次のとおりです。
Webgate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationModule.dll
ここで、Webgate_install_dirはWebgateインストールのディレクトリです。
注意: パスにスペースが存在する場合(たとえば、C:\Program Files\Oracle\... )文字列全体を二重引用符(" ")で囲みます。 |
「OK」をクリックして、モジュールを登録します。
新しく作成したモジュールの名前を確認し、「OK」をクリックして、各Webサイトにモジュールを適用します。
デフォルト・サイト・レベルからこのモジュールを削除します(そうでない場合、マシン・レベルで追加すると継承されます)。
この手順で追加したIISImpersonationModule.dll
ファイルはowaアプリケーションおよびecpアプリケーションにのみ適用され、サイト・レベルから削除されていることを確認します。
OWAに移動し、「モジュール」をダブルクリックし、「ネイティブ モジュールを構成」をクリックし、目的のモジュール(たとえばOracle Impersonation Module)を選択します。
(ecp):に移動: 「モジュール」をダブルクリックし、「ネイティブ モジュールを構成」をクリックし、目的のモジュール(たとえばOracle Impersonation Module)を選択します。
次の2つの方法で偽装をテストできます。
Microsoft OWA 2010コンテキスト外の偽装機能をテストしたりシングル・サインオンをテストするには、IIS仮想Webサイト上のターゲットWebページが必要です。そのような仮想Webサイトを作成するには、次のタスクを実行します。
「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
左側のペインにあるツリー上のローカル・コンピュータのアイコンの左のプラス・アイコン(+)をクリックします。
左ペインにあるツリー上のWebサイトを右クリックして、メニューから「新規作成」、「Webサイト」の順に選択します。
「Webサイト作成」ウィザードでプロンプトに応答します。
仮想サイトを作成したら、このガイドで説明しているように、アプリケーション・ドメインでこれを保護する必要があります。
Windows 2008イベント・ビューアを使用して偽装のテストを実行する場合、実際のテストを実行する前にイベント・ビューアを構成する必要があります。
「スタート」メニュー→「イベント ビューア」の順に選択します。
左ペインで、「セキュリティ」を右クリックし、「プロパティ」をクリックします。
「セキュリティのプロパティ」シートで「フィルタ」タブをクリックします。
すべての「イベントの種類」にチェックが付いていることおよび「イベント ソース」と「分類」の各リストが「すべて」に設定されていることを確認し、「OK」をクリックして「プロパティ」シートを閉じます。
イベント・ビューアは、リソース・リクエストに関連付けられたheaderVarに関する情報が表示されるように構成されました。
新規IIS仮想サーバー(仮想サイト)を作成します。
仮想サイト上のツリーのどこかにターゲットWebページを配置します。
ブラウザでWebページに移動します。
偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。
リクエストに関する情報を返し、表示できる.asp
ページやPerlスクリプトなどの動的テスト・ページを使用して偽装をテストすることも可能です。
サーバー変数を表示するWebページを使用して偽装をテストするには:
パラメータAUTH_USERおよびIMPERSONATEを表示する.asp
ページまたはPerlスクリプトを作成します。次のサンプル・ページのようなコードになります。
<TABLE border=1> <TR> <TD>Variable</TD> <TD>  </TD> <TD>Value</TD></TR> <%for each servervar in request.servervariables%> <TR> <TD><%=servervar%></TD> <TD>  </TD> <TD><%=request.servervariables(servervar)%> </TD> </TR>
IIS仮想サイトを作成するかまたは前のタスクで作成したものを使用します。
新規仮想サイトのツリーのどこかに.asp
ページまたはPerlスクリプト(前のリストのサンプルなど)を配置します。
ブラウザでそのページに移動します。ページに、リクエストしたユーザーの名前に設定されたAUTH_USERとIMPERSONATEの両方が表示されます。
分散Exchange/OWAシングル・サインオン環境では、各サーバーで、Access Managerに現在のユーザーを偽装させる必要があります。偽装を有効にするには、偽装アプリケーション・ドメインの認可ポリシーの「レスポンス」タブにHTTPヘッダーを追加する必要があります。
スタンドアロンOWA環境および分散OWA環境の両方でテスト済のソリューションを次に示します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』で説明されているように、Access Manager 11gをインストールします。
『Oracle Fusion Middleware Oracle Access Management開発者ガイド』で説明されているように、すべてのOWAクライアント・サーバーに10g Webgateをインストールします。
Webgate登録ページで、AccessGateを使用するバックエンド・サーバーのWebgateのIPチェックを無効にします(リクエストがユーザーのブラウザではなくフロントエンド・サーバーから転送されるため)。
「Outlook Webアプリケーションに対して偽装を設定するための前提条件」の説明に従って、OWAが統合Windows認証を使用していなことを確認します。
「Outlook Webアプリケーションに対する信頼できるユーザー・アカウントの作成」の説明に従って、Active Directoryでの偽装に対してのみ信頼できるユーザー・アカウントを作成します。
「Outlook Webアプリケーションの信頼できるユーザーへの権限の割当て」の説明に従って、オペレーティング・システムの一部として機能する特別な権限を信頼できるユーザーに与えます。
「信頼できるOutlook Webアプリケーション・ユーザーのWebgateへのバインド」の説明に従って、信頼できるユーザーの認証資格証明を提供して、信頼できるユーザーをWebgateにバインドします。
「Outlook Webアプリケーションに対する偽装アクションのアプリケーション・ドメインへの追加」の説明に従って、認証ポリシーの「レスポンス」タブにimpersonateという名前のヘッダー変数を追加します。
「偽装dllのIISへの追加」の説明に従って、IISImpersonationModule.dll
をIIS構成に追加して、IISを構成します。
「Outlook Webアプリケーションに対する偽装のテスト」の説明に従って、偽装をテストします。
Outlook Webアプリケーションに対して偽装を設定する前に、OWAが統合Windows(または他の)認証を使用していないことを確認します。使用していない場合、次の手順によりこれが機能するように設定できます。
OWAをWindows認証で設定するには:
Exchange管理コンソールを開きます。
「サーバーの構成」に移動し、「クライアント アクセス」をクリックします。
「Outlook Web Access」を選択して、「プロパティ」をクリックします。
「プロパティ」ダイアログ・ボックスで、「認証」タブをクリックします。
すべての認証方法をクリア(選択解除)します。
「適用」をクリックし、「OK」をクリックします。
IISサーバーを再起動します。
この特別なユーザーは、偽装以外には使用しないでください。
信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。
OWAに対して信頼できるユーザー・アカウントを作成するには、次の手順に従います。
Windows 2008マシンで、「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に選択します。
「Active Directoryユーザーとコンピュータ」ウィンドウで、左ペインのツリーで「ユーザー」を右クリックし、「新規作成」→「ユーザー」の順に選択します。
「新規オブジェクト - ユーザー」というペインの「名」フィールドに、OWAImpersonatorなどの覚えやすい名前を入力します。
この同じ文字列を「ユーザー ログオン名」フィールドにコピーし、「次へ」をクリックします。
次のパネルで、パスワードの選択と確認用の再入力を求められます。
オペレーティング・システムの一部として機能する権限を信頼できるユーザーに与える必要があります。
「コントロール パネル」から「管理ツール」を選択し、「ドメイン コントローラ セキュリティ ポリシー」(コンピュータがドメイン・コントローラである場合)または「ローカル セキュリティ ポリシー」をクリックします。
左ペインのツリーで、「ローカル ポリシー」の横のプラス・アイコン(+)をクリックします。
左ペインのツリーで「ユーザー権利の割り当て」をクリックします。
右ペインで「オペレーティング システムの一部として機能」をダブルクリックします。
「ユーザーまたはグループの追加」をクリックします。
「ユーザーまたはグループの追加」パネルで、信頼できるユーザーのユーザー・ログオン名(この例ではOWAImpersonator)をユーザー名とグループ名のテキスト・ボックスに入力し、「OK」をクリックして変更を登録します。
信頼できるユーザーの認証資格証明を提示して、次の手順で説明するように、信頼できるユーザーをWebgateにバインドする必要があります。
Webgateと信頼できるユーザーのバインドが作成されると、Webgateは要求に応じて偽装を提供できるようになります。要求は、偽装用に作成されたアプリケーション・ドメインの認可ポリシーで設定されたレスポンスによって作成されます。
次の手順では、10g Webgate(ImpersonateAgent)をAccess Managerに登録していることを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
信頼できるOWAユーザーをWebgateにバインドするには、次の手順に従います。
Oracle Access Managementコンソールに移動します。
例:
http://hostname:port/oamconsole
ここで、hostnameはOracle Access Managementコンソールをホストしているコンピュータの完全修飾DNS名、portはOAMサーバー用に構成されたリスニング・ポート、oamconsoleはOracle Access Managementコンソールです。
Oracle Access Managementコンソールから、次を開きます。
この統合に対して変更が必要な10g Webgateの登録を見つけます。たとえば、ImpersonateAgentです。
「すべて」が有効になっているものを見つける: 「状態」で「すべて」を選択し、「検索」ボタンをクリックします。結果リスト内の目的のWebgate名をクリックします。
Webgate登録ページを開いて、事前に作成している信頼できるユーザー・アカウントのSharePointユーザー名とパスワードを入力します。
「適用」をクリックして変更をコミットします。
Webgateと信頼できるユーザーのバインドが作成されます。これで、Webgateは、要求に応じて偽装を提供できるようになりました。要求は、偽装用に作成されたアプリケーション・ドメインの認可成功アクションによって作成されます。
OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります(/owaおよび/ecpのみ)。
注意: IISImpersonation Module.dll は、IIS7.xでowaアプリケーションおよびecpアプリケーションにのみ適用され、サイト・レベルから削除されていることを確認します。 |
認証ポリシーは、複数のHTTPヘッダー変数(認証ポリシー内のヘッダー・タイプのレスポンス)を設定する必要があります。
次の手順では、Access Managerに登録済の10g Webgate(ImpersonateAgent)に対してアプリケーション・ドメインが存在していることが前提になっています。
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のリソースを保護してSSOを有効化するポリシーの管理に関する章 |
Oracle Access Managementコンソールから、次のように移動します。
「アプリケーション・ドメイン」タブで「検索」をクリックします。
OWA2010アプリケーション・ドメイン(偽装に関連するアプリケーション・ドメイン)を開きます。
次のように移動します。
「追加」ボタン、「レスポンスの追加」の順にクリックします。
フォームに次のように入力します。
「タイプ」リストから「ヘッダー」を選択します。
「名前」フィールドに、このレスポンスの一意の名前を入力します。たとえば、IMPERSONATEと入力します。
「値」フィールドに、このレスポンスの値を入力します。たとえば、$user.useridと入力します。
「追加」、「適用」の順にクリックして、変更を送信します。
次の項「偽装DLLのIISへの追加」に進みます。
このレスポンスは、2つ目のWebgateリクエスト(認可用)に使用されます。
IISは、IISImpersonationModule.dll
をIIS構成に追加することで構成できます。また、ユーザーの偽装に対して必要であるため、「匿名アクセスを有効にする」を設定する必要もあります。
IISImpersonationModule.dllを追加することによりIISを構成するには、次の手順に従います。
「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
IIS 7.xの左ペインで、ホスト名をクリックします。
中央ペインのIISヘッダーで、「モジュール」をダブルクリックします。
右ペインで「ネイティブ モジュールを構成」をクリックして「登録」をクリックします。
ウィンドウに、モジュール名(たとえば、Oracle偽装モジュール)を入力します。
「パス」フィールドに、IISImpersonationModule.dll
へのフルパスを入力します。
デフォルトでは、パスは次のとおりです。
Webgate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationModule.dll
ここで、Webgate_install_dirはWebgateインストールのディレクトリです。
注意: パスにスペースが存在する場合(たとえば、C:\Program Files\Oracle\... )文字列全体を二重引用符(" ")で囲みます。 |
「OK」をクリックして、モジュールを登録します。
新しく作成したモジュールの名前を確認し、「OK」をクリックして、各Webサイトにモジュールを適用します。
続行する前にIISセキュリティを構成します。図53-7に例を示します。
Exchange Serverの統合のためにIISセキュリティを構成するには、次の手順に従います。
「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
左側のペインにあるツリー上のローカル・コンピュータのアイコンの左のプラス・アイコン(+)をクリックします。
左ペインのツリーで「Webサイト」をクリックします。
中央ペインで、IISの下の「認証」をダブルクリックします。
「匿名アクセス」が有効になっていて、「Windows認証」が無効になっていることを確認します。
次の方法で、OWAの偽装構成をテストできます。
「スタート」メニュー→「イベント ビューア」の順に選択します。
左ペインで、「セキュリティ」を右クリックし、「プロパティ」をクリックします。
「セキュリティのプロパティ」シートで「フィルタ」タブをクリックします。
すべての「イベントの種類」にチェックが付いていることおよび「イベント ソース」と「分類」の各リストが「すべて」に設定されていることを確認し、「OK」をクリックして「プロパティ」シートを閉じます。
イベント・ビューアは、リソース・リクエストに関連付けられたheaderVarに関する情報が表示されるように構成されました。
新規IIS仮想サーバー(仮想サイト)を作成します。
仮想サイト上のツリーのどこかにターゲットWebページを配置します。
ブラウザに、WebページのURLを入力します。
偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。
リクエストに関する情報を返し、表示できる.aspなどの動的テスト・ページを使用して偽装をテストすることも可能です。
パラメータAUTH_USER
およびIMPERSONATE
を表示する.asp
ページまたはPerlスクリプトを作成します。これは、次のリストに示すサンプル・ページに似せることができます。
<TABLE border=1> <TR> <TD>Variable</TD> <TD>  </TD> <TD>Value</TD></TR> <%for each servervar in request.servervariables%> <TR> <TD><%=servervar%></TD> <TD>  </TD> <TD><%=request.servervariables(servervar)%> </TD> </TR>
IIS仮想サイトを作成するかまたは前のタスクで作成したものを使用します。
新規仮想サイトのツリーのどこかに.asp
ページまたはPerlスクリプト(前のリストのサンプルなど)を配置します。
ブラウザで表示するページを指定し、要求を発行するユーザーの名前にAUTH_USER
とIMPERSONATE
の両方を設定します。
偽装のネガティブ・テストを実行するには、次の手順で説明するように、信頼できるユーザーをWebgateからバインド解除します。
信頼できるユーザーをWebgateからアンバインドするには:
Oracle Access Managementコンソールで、Webゲート検索ページを探します。例:
テキスト・フィールドで、必要なインスタンスの正確な名前を入力します。例: ImpersonateAgent
と入力して、「検索」をクリックします。
必要なWebgate登録ページを開いて、信頼できるユーザーの資格証明を削除します。
「適用」をクリックして変更を保存します。
ブラウザ・ウィンドウでIISサーバーを再起動し、保護されているコード・ページ(信頼できるユーザーが以前アクセスできたページ)に移動します。
メッセージ・ページが表示されることを確認します。AUTH_USER
とIMPERSONATE
の値は、偽装資格証明をWebgateにバインドするために必要です。
信頼できるユーザーをWebゲート登録ページにリストアします。
Access Manager11gは、Windowsネイティブ認証(WNA)と相互運用します。この項では、Outlook Webアプリケーション(OWA)に対するWindowsネイティブ認証(WNA)を使用するAccess Managerの設定について説明します。
IISサイト・フロントエンドOWAに対してWindows認証を有効にする方法をここで説明します。
前提条件
Kerberosサービスをマップするユーザー・アカウント、それらのアカウントのサービス・プリンシパル名(SPN)、およびキー・タブ・ファイルを含む、完全に構成されたMicrosoft Active Directory認証サービスが設定されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護 11g リリース1 (10.3.3)』E13707-03を参照してください。
第50章「Windowsネイティブ認証のためのAccess Managerの構成」の説明に従って、Windowsネイティブ認証(WNA)を使用するようにAccess Managerを構成する必要があります。
IIS Outlook Webアプリケーション(OWA)に対してWNAを有効にするには、次の手順に従います。
前提条件のタスクをすべて実行します。
IIS認証(フロントエンド・サイト上のOWA)を開きます。
Windows認証を有効にします。
プロバイダをクリックします。
ネゴシエートをプロバイダに追加し、リストの一番上まで移動します。
『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の説明に従って、IIS上のOWAを保護するAccess Managerポリシーを作成します。