25 Access Manager 11gを使用する10g Webゲートの登録および管理

『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』に、Oracle HTTP ServerへのAccess Manager 11gの初期デプロイメントについての説明が記載されています。ただし、Oracle HTTP Server以外のWebサーバー・タイプがある企業では、既存の10g Webゲートを使用するか、新規に10g Webゲートをインストールして、Access Managerで使用できます。また、事前登録済のIAMSuiteAgentから、10g Webゲートの使用に切り替えて、Oracle Identity Managementコンソールを保護することもできます。

次の項では、10g Webゲートの新規インスタンスをインストールしてAccess Managerで使用する方法を説明します。

• 前提条件

• Access Manager 11g用の10g OAMエージェントの概要

• Access Manager 11.1.2と10gの比較

• IAMSuiteAgentの集中ログアウト構成

• Access Manager 11gを使用した10g Webゲートのリモート登録

• 10g OAMエージェントのリモート管理

• Access Manager 11g用の最新の10g Webゲートの検索とインストール

• 11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成

• Access Manager 11gデプロイメントからの10g Webゲートの削除

25.1 前提条件

Oracle Technology Networkの最新の証明書マトリックスを確認して、ご自身のデプロイメント用の最新のWebGateを検索してください。

http://www.oracle.com/technetwork/middleware/id-mgmt/fusion-certification-100350.html

Oracle Access Managementコンソールが稼働していること、および次の項目を理解していることを確認してください。

• ポリシー強制エージェントの概要

• この章のAccess Manager 11g用の10g OAMエージェントの概要

25.2 Access Manager 11g用の10g OAMエージェントの概要

この項では次のトピックを記載しています:

• IAMSuiteAgentについて: Access Managerに登録された事前構成済10g Webゲート

• レガシーOracle Access Manager 10gデプロイメントとWebゲートについて

• Access Manager 11.1.2で使用する新しい10g Webゲートのインストールについて

• 10g OAMエージェントと11g OAMサーバー使用時の集中ログアウトについて

25.2.1 IAMSuiteAgentについて: Access Managerに登録された事前構成済10g Webゲート

IAMSuiteAgentは、Access Manager 11.1.2に事前登録済のJavaエージェント・フィルタです。このエージェントと付属アプリケーション・ドメインは、Access Managerによる事前構成済でインストールされます。

IAMSuiteAgentは、ドメイン全体のエージェントです。

• Access Managerがデプロイされると、ドメイン内の各サーバーにIAMSuiteAgentがインストールされます。

• 無効にしないかぎり、WebLogicアプリケーション・サーバーに入ってくるすべてのリクエストは、IAMSuiteAgentによって評価および処理されます。

• 特定のIAMSuiteAgent構成の要素はWebLogic管理コンソール(「セキュリティ・プロバイダ」セクション)に、その他の要素はOracle Access Managementコンソールにあります。

IAMSuiteAgentおよび関連ポリシーは、IDM管理コンソール、Oracle Identityコンソール、Oracle Access Managementコンソール、およびアイデンティティ管理ドメインの特定リソースに、SSO保護を提供します。

IAMSuiteAgentを10g Webゲートに置き換えると、Oracle Identity Managementコンソールと、アイデンティティ管理ドメイン内のリソース(選択した場合)を保護できます。

関連項目: 第25.4項「IAMSuiteAgentの集中ログアウトの構成」 第16.11項「IAMSuiteAgentの11g Webゲートによる置換」 第D.1項「バンドルされた10g IAMSuiteAgentアーティファクト」

25.2.2 レガシーOracle Access Manager 10gデプロイメントとWebゲートについて

11g OAMサーバーは、Access Manager 11.1.2で操作するように登録されている10g Webゲートをサポートします。次のようなWebゲートが含まれます。

• Oracle Access Manager 10gで現在稼働中のレガシー10g Webゲート。

• SSO用のIDアサーション・プロバイダ(IAP)として構成されたレガシー10g Webゲート(Oracle Access Manager 10gによるIAP WebLogicコンテナベースのセキュリティを使用するアプリケーション向け。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照)。

• Oracle ADFセキュリティとOPSS SSOフレームワーク用にコードが記述されたWebアプリケーションで現在操作しているレガシー10g Webゲート。

Oracle Access Managementコンソールまたはリモート登録ツールを使用して、Access Manager SSOを使用するように、これらのエージェントを登録できます。登録後は、10g Webゲートはブリッジとして機能するJavaベースのOAMプロキシを使用して、Access Managerと直接通信できます。

関連項目: 表1-2 付録A「Oracle ADFアプリケーションとAccess Manager SSOの統合化」

次の概要では、既存の10g WebゲートをAccess Managerで使用するための設定に必要なタスクをまとめています。

タスクの概要: レガシー10g WebゲートをAccess Managerで使用できるようにする設定

1. Access Manager 11gを使用した10g Webゲートのリモート登録

2. 11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成

3. オプション: 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』で説明するように、アプリケーションをWebLogicコンテナにデプロイします。

25.2.3 Access Manager 11.1.2で使用する新しい10g Webゲートのインストールについて

この章で説明しているように、新しい10g WebゲートをインストールしてAccess Manager 11gで使用できます。10g Webゲートは、いくつかのWebサーバー・プラットフォーム用に提供されています。

インストールおよび登録の後で、10g Webゲートはブリッジとして機能するJavaベースのOAMプロキシを使用して、Access Managerと直接通信できます。

注意: Access Manager用に新規10g Webゲートをインストールする場合、最新のWebゲートを使用することをお薦めします。また、フェイルオーバーやロード・バランシング用に、複数のWebGateをインストールすることをお薦めしています。

11g Access Managerデプロイメントへの10g Webゲートのインストールと、Oracle Access Manager 10gデプロイメントへの10g Webゲートのインストールにはいくつかの違いがあります。表25-1に違いをまとめます。

表25-1 10g Webゲートのインストールの比較

11gデプロイメントへの10g Webゲート

10gデプロイメントへの10g Webゲート

パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。 プロビジョニング: インストール前に、Access Manager 11gでWebゲートをプロビジョニングします。「Access Manager 11gを使用した10g Webゲートのリモート登録」を参照してください。 OAMサーバーとの関連付け: WebGateの登録中に実施(手順2)。 インストール: アプリケーションの前(またはFusion Middlewareの場合は、WebLogicサーバーの前)に10g WebGateをインストールします。 言語パック: Access Managerは10g Webゲートの言語パックをサポートしています。 Webサーバー構成: Access Managerで生成されたファイルを、Webゲートのインストール・ディレクトリ・パスにコピーして、Webサーバーの構成を更新します。 証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーします。 フォーム: 10g Webゲートで提供されている10gフォームは、11g OAMサーバーでは使用できません。 11g OAMサーバーでの10g Webゲートの使用方法や範囲は、リソースWebゲート(認証用Webゲートではなく、リダイレクトを行う側)と同様です。10g Webゲートと11g OAMサーバーを使用する場合、10g Webゲートは常に認証用Webゲートとして機能する11g証明書コレクタにリダイレクトされます。 シングル・ログアウト: 第22章「11g Webゲートが関与するセッションの集中ログアウトの構成」の情報を使用して構成します。 マルチドメイン・サポート: Access Manager 11には適用されません。

パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。 プロビジョニング: インストール前に、アクセス・システム・コンソールでWebGateインスタンスを作成します。 AAAとの関連付け: インストール前に、アクセス・システム・コンソールで、WebGateをアクセス・サーバーに関連付けます。 インストール: 10g WebGateパッケージを使用。 言語パック: WebGateのインストール中(または後で)10g WebGateの言語パックをインストールできます。 Webサーバーの構成: WebGateのインストール中に自動的に行われます(またはWebGateのインストール後に手動でも可能)。 証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーしました。 フォーム: 10gデプロイメント用に提供されていました。 Oracle Access Manager 10gの集中ログアウト。 マルチドメイン・サポート: Oracle Access Manager 10g用に構成可能。

次の概要では、この章でAccess Manager 11g用の10g Webゲートのインストールおよび登録タスクについて詳細に説明したトピックをあげています。Access Manager 11gを正しく操作するために、すべての手順を完了する必要があります。

タスクの概要: 10g WebゲートのAccess Manager 11g用の登録とインストール

1. 10g Webゲートの登録:

2. Access Manager 11gで使用する10g Webゲートの検索とダウンロード

3. 11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成

4. オプション: 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』で説明するように、アプリケーションをWebLogicコンテナにデプロイします。

25.2.4 10g OAMエージェントと11g OAMサーバー使用時の集中ログアウトについて

登録された10g Webゲートに対して構成されたlogout.htmlファイルがアプリケーションによって起動されると、ログアウトが開始されます。

一般的に、10g Webゲート使用時の集中ログアウトの際には、SSOエンジンがユーザー・セッションの有無を問う要求を受け取ります。セッション管理エンジンはセッションを参照し、セッションが存在するという応答をします。SSOエンジンはセッション削除要求を送信します。セッション管理エンジンはトークンとセッション・コンテキストを削除します。SSOエンジンはセッション削除完了レスポンスを送信します。

ユーザー・トークンとセッション・コンテキストを削除するとサーバー側の状態が削除されますが、これにはサーバー側に設定されたOAM_ID Cookieを削除することが含まれます。エージェントに通知が行われると、エージェントはアプリケーションのクライアント側状態を削除します。詳細は、第25.8項「11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成」を参照してください。

関連項目: 第25.4項「IAMSuiteAgentの集中ログアウトの構成」

25.3 Access Manager 11.1.2と10gの比較

この項では、Access ManagerおよびOSSOの10gアーキテクチャとの比較について説明します。次のトピックが含まれます。

• Access Manager 11gと10gの比較

• Access Manager 11gと10gのポリシー・モデルの比較

25.3.1 Access Manager 11gと10gの比較

Access Manager 11gは、アイデンティティ管理機能がOracle Identity Manager 11g(ユーザー・セルフサービス、セルフ登録、ワークフロー機能、動的グループ管理、委任されたアイデンティティ管理を含む)に移管されたという点で、10gとは異なります。

Access Manager 10gは、認証レベルが同じかより低いターゲット・リソースへのアクセスに必要なユーザー・アイデンティティおよびセッションの情報を含む単一のセッションcookie (ObSSOCookie)を使用して、シングル・サインオンをサポートしていました。ObSSOCookieは、グローバル共有の秘密鍵を使用して暗号化、復号化され、秘密鍵の値はディレクトリ・サーバーに格納されていました。ObSSOCookieは、ユーザー・アイデンティティを検証して保護されたリソースへのアクセスを許可または却下するために、アクセス・システム・コンポーネントによって消費されていました。

可能性のあるセキュリティ・ギャップを埋めるには、Access Manager 11gには、既存のAccess Manager 10gポリシー強制エージェント(Webゲート)とOSSO 10gエージェント(mod_osso)との下位互換性を維持するための新しいサーバー側コンポーネントが用意されています。新しいAccess Manager 11g Webゲートは10g Webゲートの強化バージョンで、シングル・サインオン(SSO)ソリューションのためにエージェントごとの秘密鍵をサポートしています。したがって、Cookieリプレイ型の攻撃が阻止されます。11g Webゲートは、すべて同じレベルで信頼されます。つまり、Webゲート固有のCookieが設定され、それを使用しても、他のWebゲートで保護されたアプリケーションにユーザーの代理でアクセスすることはできません。

特に明記しないかぎり、「Webゲート」という用語は新規のWebゲートまたはカスタムのアクセス・クライアントの両方を指します。

Access Manager 11gでは、Oracle Coherenceの技術を使用して、分散されて集中化された信頼のできるセッション管理が可能です。

表25-2は、Access Manager 11gと10gの比較を示しています。Access Manager 11gで変更された名前のリストについては、「11.1.2で変更された製品およびコンポーネントの名前」を参照してください。

表25-2 比較: Access Manager 11g対10g

	Access Manager 11g	10g
エージェント	エージェント: Webゲート、アクセス・クライアント、OpenSSO、OSSO (mod_osso)およびIAMSuiteAgent 注: 9つの管理者言語がサポートされています。	リソースWebゲート (RWG) 認証Webゲート (AWG) アクセス・ゲート アクセス・サーバー ポリシー・マネージャ アイデンティティ・システム 注: 9つの管理者言語がサポートされています。
サーバー側のコンポーネント	OAMサーバー(WebLogic管理対象サーバーにインストール) セキュリティ・トークン・サービスとIdentity FederationはOAMサーバーで実行されます。	アクセス・サーバー ポリシー・マネージャ アイデンティティ・サーバー
コンソール	Oracle Access Managementコンソール	アクセス・システム・コンソール アイデンティティ・システム・コンソール
インターネット上での情報交換の保護に使用されるプロトコル。	エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS 11g Webゲートでは、エージェント・キーを使用して情報交換が保護されます。 -関連項目: 暗号化キー	プレーン・テキストでの10gエージェントの情報交換は保護されません。
暗号化キー	11g WebGateとOAMサーバー間で共有されるエージェントごとの秘密鍵1つ OAMサーバー・キー1つ(サーバー登録時に生成) 注: 登録されたmod_ossoエージェントごとに1つのキーが生成され、使用されます。	すべての10g Webゲートが使用するAccess Managerデプロイメントごとに1つのグローバル共有秘密鍵
キー・ストレージ	エージェント側: エージェントごとのキーは、ローカルでウォレット・ファイルのOracleシークレット・ストアに格納されます。 OAMサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。 セキュリティ・トークン・サービス	ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(WebGateに対してはアクセス不可)
Cookie	ホストベースの認証Cookie。表1-2「Access Manager 11.1.2の機能」を参照してください。	認証とセッション管理の両方について、すべてのWebゲート (AWGを含む)に対して1つのドメイン・ベースのObSSOCookie
暗号化 / 復号化(暗号化されたデータを元の形式に変換するプロセス)	クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。 WebGateは、エージェント・キーを使用してobrareq.cgiを暗号化します。 注: obrareq.cgiは、WebGateからOAMサーバーにリダイレクトされる問合せ文字列の形式での認証リクエストです。 OAMサーバーは、リクエストを復号化して認証し、セッションを作成してサーバーcookieを設定します。 また、OAMサーバーはエージェントの認証トークン(エージェント・キーを使用して暗号化)を生成し、セッション・トークン(cookieベースのセッション管理を使用する場合)や認証トークン、その他のパラメータを使用してそれをobrar.cgiにパックしてから、エージェント・キーを使用してobrar.cgiを暗号化します。 注: obrar.cgiは、OAMサーバーからWebゲートにリダイレクトされた認証レスポンス文字列です。 WebGateはobrar.cgiを復号化して、認証トークンを抽出し、ホスト・ベースのcookieを設定します。	トークンの生成/暗号化、および検証/復号化は、アクセス・サーバーに委任されます。 obrareq.cgiとobrar.cgiはどちらも暗号化されずに送信され、セキュリティは基礎となるHTTP(S)トランスポートに依存します。
セッション管理	第17章「Access Managerセッションのメンテナンス」	単一のドメインがサポートされています。 マルチドメイン: あるドメイン上でユーザーがアイドル状態のままタイムアウトし、認証のWebゲートではタイムアウトしていない場合、AWG Cookieはまだ有効です(再認証は必要ありません)。更新されたタイムアウトとともに新しいCookieが生成されます。
クライアントIP	このクライアントIPを保守管理して、それをホスト・ベースのOAMAuthnCookieに含めます。	元のクライアントIPをObSSOCookieの中に含めます。 IPの検証が構成されている場合、後の認証や認可リクエストでCookieが提示されたときは、この元のクライアントIPが提示者のIPと比較されます。 一致しない場合は拒否されます。
レスポンス・トークンの再生防止	レスポンス・トークンの再生を防ぐために、RequestTime(リダイレクト直前のタイムスタンプ)をobrareq.cgiに含めて、それをobrar.cgiにコピーします。	N/A
複数のネットワーク・ドメインのサポート	ネットワーク間ドメインの設定不要なシングル・サインオン。 複数のネットワーク・ドメインをサポートする場合は、Oracle Federationを使用することをお薦めします。	独自の複数のネットワーク・ドメインSSO機能が、Oracle Identity Federationより前から存在します。これが10gデプロイメントに実装されている場合、10gエージェントをAccess Manager 11gに登録すればこのサポートを引き続き受けられます。 単一のドメインがサポートされています。 一度ユーザーがあるWebGateからログオフすると、ドメインのcookieは消去されて、ユーザーはドメイン全体からログオフしたと見なされます。 マルチドメインSSOは、チェーン化されたカスタマイズ済のログアウト・ページを通してサポートできます。
一元化されたログアウト	logOutUrls (10g Webゲートの構成パラメータ)は保持されています。10g logout.htmlには、Access Manager 11g固有の詳細情報が必要です。 11g WebGateには次の新しいパラメータが追加されています。 ログアウト・リダイレクトURL ログアウト・コールバックURL ログアウト・ターゲットURL 第22章「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。	10g WebゲートとAccess Manager 11gを併用する場合、logout.htmlでは特定の詳細が必要です。第22章「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。 単一のドメインがサポートされています。 一度ユーザーがあるWebGateからログオフすると、ドメインのcookieは消去されて、ユーザーはドメイン全体からログオフしたと見なされます。 マルチドメインSSOは、チェーン化されたカスタマイズ済のログアウト・ページを通してサポートできます。

25.3.2 Access Manager 11gと10gのポリシー・モデルの比較

明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。

Access Manager 10gは、ポリシー・ドメイン内のポリシーに基づく認証と認可を提供します。アクセス・サーバーへのWebゲート問合せの数を制限するためにアクセスを明示的に拒否したルールまたはポリシーでリソースが保護されなかった場合、Access Manager 10gのデフォルト動作ではアクセスが許可されていました。

表25-3は、Access Manager 11gポリシー・モデルと10gモデルを比較しています。明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。対照的に、Access Manager 10gのデフォルトの動作では、リソースがアクセスを明示的に指定するルールやポリシーによって保護されていない場合に、アクセスが許可されていました。

表25-3 Access Manager 11gと10gのポリシー・モデルの比較

ポリシーの要素	11gポリシー・モデル	10gポリシー・モデル
ポリシー・オーサリング	Oracle Access Managementコンソール	ポリシー・マネージャ
ポリシー・ストア	データベース	LDAPディレクトリ・サーバー
ドメイン	アプリケーション・ドメイン	ポリシー・ドメイン
リソース	URL接頭辞はありません。リソースの定義は、完全なURLとして扱われます。 機能が制限された次のパターン一致 ' * 'および'...'がサポートされます。 リソースをドメイン間で一意にする必要はありません。 HTTP URLの問合せ文字列保護。 各HTTPリソースはURLパスとして定義され、ホスト識別子と関連付けられます。ただし、他のタイプのリソースは、(ホスト識別子ではなく)特定の名前と関連付けられます。 特定の操作の定義によって、HTTP以外のリソース・タイプがサポートされます。HTTP以外のリソース・タイプにホスト識別子は関連付けられません。 リソースは、「保護」、「非保護」または「除外」として指定されます。 カスタム・リソース・タイプが許可されます。	URL接頭辞がドメインに定義されます。 次のパターン一致: { } * … リソースをドメイン間で一意にする必要はありません。 URL問合せ文字列の内容またはHTTP操作(あるいはその両方)に基づいて、httpリソースを保護できます。 HTTP以外のリソース・タイプおよび操作を定義できます。
ホスト識別子	ホスト識別子はポリシーの外部で定義され、HTTPリソースの定義中に使用されます。 ホスト識別子は、HTTPリソースの定義において必須です。	ホスト識別子はポリシーの外部で定義され、HTTPリソースの定義中に使用されます。 HTTPリソースの定義において、システムに定義済のホスト識別子がなくなるまでは、ホスト識別子は必須ではありません。
認証ポリシー	認証ポリシーには、リソース、成功レスポンスおよび認証スキームが含まれます。 認可ポリシーには、成功レスポンスと時間ベース、IPベースおよびユーザーベースの条件も含めることができます。 1つの認証ポリシーおよび認可ポリシーのみをリソースに関連付けることができます。 認証および認可ポリシーを成功または失敗で評価できます。 クエリー・ビルダーおよびLDAPフィルタのサポート(特定の表示タイプの属性に基づく一致を取得する場合など)はありません。 アプリケーション・ドメインにデフォルト・ポリシーの概念はありません。ただし、決められた範囲内のデフォルト・ポリシーとして使用できるリソースのポリシー/…/*を定義できます。 トークン発行ポリシーは、リソースおよびユーザー・ベースまたはパートナに基づく条件を使用して定義できます。第20.3.6項「トークン発行ポリシー・ページについて」を参照してください。	認証ポリシーは単純で、認証スキーム・ベースのルールのみを含みます。 1つのリソースを一連の認可ポリシーに関連付けることができます。これらのポリシーの評価は、必要に応じて論理演算子を使用してセット内のポリシーをまとめた式に基づくことができます。 また、1つのリソースを複数の認証ポリシーおよび認可ポリシー・セットに関連付けることもできます。ただし、1つのセットにのみ適用されます。 認可ポリシーは、成功、失敗または未確定に評価できます。 LDAPフィルタを使用して、ユーザーを指定できます。 デフォルトの認証ポリシーおよび認可ポリシー・セットをポリシー・ドメインに定義できます。ドメインでランタイム・リソースに適用される他のポリシーが存在しない場合にのみ、このポリシーが適用されます。 トークン発行ポリシーのサポートはありません。
認証スキーム	認証スキームはグローバルに定義され、共有されます(認証ポリシー内から参照できます)。 信頼レベルは、0(信頼なし)から99(最高の信頼レベル)の整数値で表現されます。 注意: レベル0は保護されていません。保護レベル0の認証スキームを使用する認証ポリシーには、保護されていないリソースのみ追加できます。 関連項目: 表19-20 認証スキームの定義	認証スキームをポリシーの外部で定義し、認証ポリシー内で参照できます。
認可ポリシー	1つの認可ポリシーでのみ、アプリケーション・ドメインに割り当てられる各リソースを保護できます。ポリシーには、それぞれ1つ以上の条件およびルールを含めることができます。 関連項目: 「ルール」、この表の以降の項目および第20.8項「特定のリソースの認証ポリシーの定義」	リソースを保護するには、1つ以上の条件を含んだ認可ルールを定義します。また、1つ以上の認可ルール使用する認可条件式を構成します。ポリシー・ドメイン(およびポリシー)には、それぞれ1つの認可条件式のみを含めることができます。
トークン発行ポリシー	生成されるアプリケーション・ドメインでは、「トークン発行ポリシー」のコンテナのみがデフォルトで提供されます。条件やルールは自動的に生成されません。これらは手動で追加する必要があります。 関連項目: 第20.3.6項「トークン発行ポリシー・ページについて」	N/A
レスポンス	すべてのポリシー・タイプで使用可能。 認証および認可の成功レスポンスをポリシー内に定義できます。これらはポリシーの評価後に適用されます。 Cookie、ヘッダーおよびセッション・レスポンスがサポートされます。 URLリダイレクトを設定できます。 レスポンス定義は、各ポリシーの一部です。レスポンス値は、リテラル文字列の場合も、リクエスト、ユーザーおよびセッション属性から値を取得する追加的な埋込み式を含む場合もあります。	認証および認可レスポンスを成功、失敗および未確定イベントでポリシー内に定義できます。これらはポリシーの評価後にコール元に戻されます。 HTTP_HEADERおよびCookieベースの変数を設定できます。 認証および認可ポリシー評価の成功および失敗イベントにリダイレクトURLを設定できます。 レスポンス値には、リテラル文字列およびユーザー属性値のリストを含めることができます。
Cookie	関連項目: 表18-8 および 第18.6.1項「ユーザー・ログイン時のシングル・サインオンCookieについて」	関連項目: 表18-8 および 第18.6.1項「ユーザー・ログイン時のシングル・サインオンCookieについて」
問合せ文字列ベースのHTTPリソース定義	アクセス・ポリシー内でサポートされます。表20-1「リソース定義の要素」を参照してください。	このポリシー・モデルは、アクセス・ポリシー内の問合せ文字列ベースのHTTPリソース定義をサポートします。 ベース・リソースURLの場合と同様に、実行時にOAMプロキシは、URLエンコーディングの後に問合せ文字列をポリシー・レイヤーに渡します。HTTP GETリクエストの一部である問合せ文字列のみが渡されます。問合せ文字列のパターンはHTTP POSTデータに適用されません。
ルール	認可ポリシーとトークン発行ポリシーのみで利用可能です。 各認可ポリシーには、保護対象のリソースへのアクセスを許可または拒否するかどうかを定義したルールが含まれています。 ルールは、次で説明されている認可条件を参照します。 関連項目: 第20.11項「認可ポリシー・ルールおよび条件の概要」	ポリシーは(いくつかのポリシー要素の中で)認証ルールを使用して定義します。認可ルールの概要は次のとおりです。 ポリシーの外部で定義され(ただし、スコープはポリシー・ドメイン内)、ポリシー内で参照されます。 2箇所に出現: 1)ドメインのデフォルト・ルールの内容および2)ポリシー定義内 各ルールは、誰(どのユーアー、グループまたはIP4アドレス)がアクセスを許可または拒否されるか、およびそのルールが適用される期間を指定します。 また、許可を拒否よりも優先するかどうかの条件も指定できます。
条件	認可ポリシーとトークン発行ポリシーのみで利用可能です。 各認可ポリシー・ルールは、ルールの適用対象、時間の条件が存在するかどうか、および評価結果の適用方法を定義する条件を参照します。 条件は、ルールの外部で宣言され、ルール内から参照されます。 関連項目: 第20.11項「認可ポリシー・ルールおよび条件の概要」	N/A

25.4 IAMSuiteAgentの集中ログアウト構成

IAMSuiteAgentは、OAMサーバーに対して集中ログアウトを行うために必要なログアウト・パラメータによって事前構成されています。IAMSuiteAgentは10g Webゲートに似ていますが、構成の必要があるローカルのlogout.htmlページがありません。かわりに、IAMSuiteAgentにはデプロイ済のアプリケーション(oamsso_logout)が同梱されており、エージェントはこれを使用してログアウトします。

IAMSuiteAgentのログアウト機能を使用するには、IAMSuiteAgentを使用するサーバー上にoamsso_logoutアプリケーションがデプロイされている必要があります。最初のインストール時には、このアプリケーションはAdminServerとOAMサーバーに追加されます。ただし、このアプリケーションのターゲット・サーバーを更新して、IAMSuiteAgentを使用しているすべてのサーバーを含めることが必要です。

IAMSuiteAgentのログアウトの構成手順

1. WebLogicサーバーの管理コンソールにログインします。

2. 「ドメイン」→「デプロイメント」→「oamsso_logout」→「ターゲット」へナビゲートします。

3. IAMSuiteAgentが有効でログアウトが実行されるすべてのサーバーを選択します。たとえば、oim_server、oaam_admin、oaam_serverなどです。

4. 「保存」をクリックします。

5. 次の項目へ進みます。

   • 第20.14項「アプリケーション・ドメインでの認証と認可の検証」

   • 第21章「アクセス・テスターを使用した接続とポリシーの検証」

25.5 Access Manager 11gを使用した10g Webゲートのリモート登録

レガシー10g Webゲートがインストールされている場合でも、Access Manager 11gで使用するために新しい10g Webゲートインスタンスをインストールする場合でも、Access Manager 11gの認証サービスと認可サービスを使用するにはWebゲートを登録する必要があります。

Oracle Access Managementコンソールまたはリモート登録ツールを使用して、このタスクを実行できます。リモート登録ツールでは、テンプレートを使用して、登録前にすべてのWebGateパラメータを指定できます。

次の手順によって、リモート登録ツールを使用してインバンド・モードでのプロビジョニングのウォーク・スルーが行えます。この例では、OAMRequest_short.xmlをテンプレートとして使用してmy-10g-agent1という名前のエージェントを作成し、/.../*の保護と、パブリック・リソース、/public/index.htmlの宣言を行います。実際の値はこれとは異なります。完全な登録テンプレートを使用して、パブリック・リソース、プライベート・リソースおよび除外されたリソースを指定できます。

関連項目: 必要に応じて次を参照してください。 第16.7項「OAMエージェントのリモート登録の実行」

Access Manager 11g用の10g Webゲートでリモート登録を使用する手順

1. リモート登録ツールを入手して、環境に合ったスクリプトを設定します。例:

   1. 次のパスのRREG.tar.gzファイルを探します。

      $ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz 
      

   2. RREG.tar.gzファイルを別な場所に解凍します。例: rreg/bin/oamregなど。

   3. oamregスクリプト(oamreg.batまたはoamreg.sh)に、状況(クライアント側またはサーバー側)と 表16-5の情報に応じた次の環境変数を設定します。

      
      OAM_REG_HOME = exploded_dir_for_RREG.tar/rreg
      JAVA_HOME = Java_location_on_the_computer
      

2. 登録リクエストを作成します。

   1. OAMRequest_short.xmlを探して、新しいファイルにコピーします。例:

      $OAM_REG_HOME/input/OAMRequest_short.xml/
      

      コピー元: OAMRequest_short.xml

      コピー先: my-10g-agent1.xml

   2. 環境の詳細情報を含むように、my-10g-agent1.xmlを編集します。例:

      <OAMRegRequest>
          <serverAddress>http://ruby.uk.example.com:7001</serverAddress>
          <hostIdentifier>my-10g</hostIdentifier>
          <agentName>my-10g-agent1</agentName>
                        <protectedResourcesList>         <resource>/myapp/</resource>         <resource>/myapp/.../*</resource>                   </protectedResourcesList>                    <publicResourcesList>         <resource>/public/index.html</resource>                  </publicResourcesList>                       <excludedResourcesList>         <resource>/excluded/index.html</resource>                      </excludedResourcesList> 
          <autoCreatePolicy>true</autoCreatePolicy>
          <primaryCookieDomain>.uk.example.com</primaryCookieDomain>
          <logOutUrls>
            <url>/oamsso/logout.html</url>
          </logOutUrls>
      </OAMRegRequest>
      

      
      

      関連項目: 第16.7.2項「リモート登録リクエストの作成」

      
      

3. エージェントを登録します。例:

   1. リモート登録スクリプトを探します。

      
      Linuxの場合: rreg/bin/oamreg.sh
      

      Windowsの場合: rreg\bin\oamreg.bat

   2. スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。例:

      $ ./bin/oamreg.sh inband input/my-10g-agent1.xml

      Welcome to OAM Remote Registration Tool!
      Parameters passed to the registration tool are:
      Mode: inband
      Filename: ...
      

   3. プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。

      Enter your agent username: userame
         Username:  userame
      Enter agent password: ********
      Do you want to enter a WebGate password?(y/n)
          n
      iv.     Do you want to import an URIs file?(y/n)
          n
      

   4. 最後のメッセージを確認して、登録が成功したことを確かめます。

      Inband registration process completed successfully! Output artifacts are 
      created in the output folder"
      

4. 登録時に作成されたObAccessClient.xmlファイルは、ここでは無視します。

5. Oracle Access Managementコンソールにログインして、次のようにリソースを新しい登録に追加します。

   1. 「システム構成」タブの「Access Manager」セクションで、次のノードを開いて「検索」コントロールを表示します。

      
      システム構成
      Access Manager
      SSOエージェント
      OAMエージェント
      

   2. 「検索」コントロールを使用して、目的のWebゲート登録ページを見つけて、そのページを開くために「結果」表内の名前をクリックします。

   3. OAMプロキシ・ポート: 「システム構成」タブの「共通構成」セクションで、「サーバー・インスタンス」をダブルクリックしてOAMプロキシが実行中のポートを検索します(表6-3を参照)。

6. リソースをアプリケーション・ドメインに追加します(表20-1)。

7. 使用する環境の必要に応じて次に進みます:

   • Webゲートの終了: 「11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成」

   • アンインストールしたWebゲート: 「Access Manager 11g用の最新の10g Webゲートの検索およびインストール」

   • オプション: 「10g OAMエージェントのリモート登録」

25.6 10g OAMエージェントのリモート登録

この項では、第16.8項「エージェントのリモート更新の概要」で説明したリモート登録テンプレートとモードを使用して、OAM 10gエージェントを更新、検証および削除する方法について説明します。

OAM 10gエージェント登録をリモート更新するには

1. 第16.7.1項「リモート登録ツールの取得および設定」の説明に従って、登録ツールを設定します。

2. エージェントの更新:

   1. OAMUpdateAgentRequest.xmlテンプレートを使用して、更新リクエストを作成します。

   2. エージェントをホストしているコンピュータで、agentUpdateモードで次のコマンドを実行し、入力ファイルとして独自の*Request*.xmlを指定します。例:

      ./bin/oamreg.sh agentUpdate input/*OAMUpdateAgentRequest.xml
      

   3. 求められた場合に登録管理者ユーザー名およびパスワードを入力します。

   4. 画面のメッセージで成功したことを確認します。

   5. 次のように、エージェント・ホストObAccessClient.xmlを再配置します。

      再配置元AdminServer(コンソール)ホスト: /rreg/output/Agent_Name/

      再配置先エージェント・ホスト: $10gWG_install_dir/oblix/lib例:

      
      $WebTier_MW_HOME/Oracle_WT1/instance1/ config/OHS/ohs1/oblix/lib
      

   6. このエージェントをホストするOAMサーバーを再起動します。

3. エージェントの検証:

   1. エージェント・ホストで、agentValidateモードで次のコマンドを実行します。例:

      ./bin/oamreg.sh agentValidate agentname
      

   2. 求められた場合に登録管理者ユーザー名およびパスワードを入力します。

   3. 画面のメッセージで成功したことを確認します。

4. エージェントの削除:

   1. エージェントをホストしているコンピュータで、次のagentDeleteコマンドを実行します。例:

      ./bin/oamreg.sh agentDelete agentname
      

   2. 求められた場合に登録管理者ユーザー名およびパスワードを入力します。

   3. 画面のメッセージで成功したことを確認します。

      成功: 画面のメッセージを確認します。

      AgentDeleteプロセスは正常に完了しました。

25.7 Access Manager 11g用の最新の10g Webゲートの検索とインストール

Access Manager 11gで使用する新規10g Webゲートをインストールする場合は、この項の手順を使用します。それ以外の場合は、この項はスキップして第25.8項「11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成」に進みます。

タスクの概要: WebGateのインストールには次の手順が含まれています。

1. Access Manager 11gで使用する新規10g Webゲートのインストールの準備

2. Access Manager 11gで使用する10g Webゲートの検索とダウンロード

3. WebGate 10gのインストールの開始

4. トランスポート・セキュリティ・モードの指定

5. WebGateの構成詳細の指定

6. セキュアな通信のための証明書のリクエストまたはインストール

7. WebGate Webサーバー構成の更新

8. WebGateのインストール終了

9. アーティファクトと証明書のインストール

10. WebGateのインストール確認

25.7.1 Access Manager 11gで使用する新規10g Webゲートのインストールの準備

表25-4に、10g Webゲートのインストール開始前に満たしておく必要のある要件を示します。

表25-4 Access Manager 11gで使用する10g Webゲートのインストールの準備

情報	説明
サポートされている最新のWebGate	Access Manager 11gでは、サポートされている最新の10g (10.1.4.3) Webゲートを必ず使用してください。ただし、該当する10g (10.1.4.3) WebGateが提供されていない場合は、その次に新しいWebGate (10g (10.1.4.2.0)を使用してください。 関連項目: 第25.7.2項「Access Manager 11gで使用する10g Webゲートの検索とダウンロード」
インストール場所	次の場所を検討してください。 WebGateをアプリケーション・サーバーの前。 WebLogicサーバー・コンテナで管理されたセキュリティを使用するアプリケーション: アプリケーションをデプロイするWebLogicアプリケーション・サーバーの前
ユーザー・アカウント	WebGateのインストールに使用するアカウントは、WebGateを実行するアカウントとは異なります。 10g WebGateは、Webサーバーと同じユーザーおよびグループを使用してインストールする必要があります。 Unix: rootとしてログインしてWebGateをインストールできます。Webサーバー・プロセスをroot以外のユーザーとして実行している場合は、root以外のユーザーを使用してWebGateをインストールできます
rootレベルとサイト・レベル	WebGateはrootレベルまたはサイト・レベルでインストールできます。 複数の仮想サイトにWebGateをインストールしても、WebGateのインスタンスは1つです。
トランスポート・セキュリティ・モード	インストールするエージェントと同じモードを使用するように、1つ以上のOAMサーバーを構成していることを確認します。 関連項目: 付録C「通信の保護」
コンピュータ・レベルと仮想Webサーバー・レベル	WebGateは、コンピュータ・レベルまたは仮想Webサーバー・レベルで実行するように構成できます。コンピュータ・レベルと仮想Webサーバー・レベルの両方にインストールしないでください。
Oracle HTTP Server Webサーバー:	Oracle HTTP Server用の10g WebGateは、オープン・ソースApacheに基づいています。WebGateパッケージ名には次が含まれています。 OHS (Apache v1.3に基づく) OHS2 (Apache v2に基づく) OHS11g (Apache v2.2に基づき、この章の対象外)
Apache Webサーバー	Access Manager 11gは、SSLが有効または無効なApacheをサポートするコンポーネント用に単一パッケージを提供しています。 APACHE2_WebGateは、SSLが有効または無効なv2(およびリバース・プロキシが有効または無効なSolarisおよびLinux)をサポートしています。第26章「Apache、OHS、IHSの10g Webゲート用の構成」も参照してください。 APACHE22_WebGateは、SSLが有効または無効なv2.2(およびリバース・プロキシが有効または無効なSolarisおよびLinux)をサポートしています。第26章「Apache、OHS、IHSの10g Webゲート用の構成」も参照してください。 注意: SSL対応の通信用に、Access ManagerはApache-SSLではなく、mod_sslのApacheのみをサポートしています。mod_sslはApache-SSLから派生した代替品です。
IBM HTTP Server (IHS) v2 Webサーバー:	IHS2_WebGateはIBM-AIX上でApache v2で稼働しています。Access Managerは、SSLが有効または無効なIHS v2およびIHS v2リバース・プロキシ・サーバーをサポートしています。 詳細は、第26章「Apache、OHS、IHSの10g Webゲート用の構成」を参照してください。
Domino Webサーバー:	10g WebゲートをDomino Webサーバーにインストールする前に、Domino Enterprise Server R5を正しくインストール、設定しておく必要があります。 関連項目: 第29章「10g WebゲートのためのLotus Domino Webサーバーの構成」
IIS Webサーバー	WebGateのインストール前に、IIS Webサーバーがロック・ダウン・モードになっていないことを確認します。これを行わなかった場合、サーバーが再起動され、メタベースが再度初期化され、IISがロック・ダウン後に発生したアクティビティを無視するまで、問題なく稼働しているように見えます。 クライアントの証明書認証を使用している場合は、WebGate用のクライアント証明書を有効にする前に、WebGateをホスティングしているIIS Webサーバー上でSSLを有効にしておく必要があります。 NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。 各IIS仮想Webサーバーは、仮想レベルに独自のWebGate.dllファイルを持つか、すべてのサイトに影響を及ぼす単一のWebGateを、サイト・レベルでイストールできます。Webgate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、Webgate.dllを1つまたはすべての仮想ホストに対してインストールします。 コンピュータ・レベルでpostgate.dllファイルをインストールする必要もあります。postgate.dllは\WebGate_install_dirにあります。第28.5.3.4.2項「ポストゲートISAPIフィルタのインストール」を参照してください。複数のインストールを実行する場合、このファイルの複数バージョンが作成される可能性がありますが、これはAccess Managerに予測できない動作を発生させる原因になります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを確認してください。 関連項目: 第28章「10g WebGate用のIIS Webサーバーの構成」 削除: WebGateおよび関連フィルタをIISから完全に削除するには、単にIIS内のリストから削除する以上の処理を行う必要があります。IISは設定のすべてをメタベース・ファイルに保持します。Windows 2000以降では、これは手動で変更できるXMLファイルです。メタベースを編集するためのツールMetaEditも使用可能です。MetaEditはRegeditに似ており、一貫性チェッカおよびブラウザやエディタの機能を備えています。WebgateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。
ISAプロキシ・サーバー	ISAプロキシ・サーバー上では、すべてのISAPIフィルタをISAインストール・ディレクトリ内にインストールする必要があります。ISAインストール・ディレクトリ構造内の任意の場所でかまいません。 ISAプロキシ・サーバーにWebGateをインストールする前に、次を行います。 次で、一般的なISAPIフィルタをISAの指示と照合します。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaisapi_5cq8.asp 内外の通信レイヤーが正しく構成されており、機能していることを確認します。 インストール中に、それがISAインストールなのかどうか尋ねられます。次を必ず行います。 尋ねられたら、これがISAプロキシ・サーバーのインストールであることを示します。 WebGateインストール・パスとして、ISAインストール・ディレクトリを指定します。 自動Webサーバー更新機能を使用して、WebGateのインストール中にISAプロキシ・サーバーを更新します。 WebGateのインストール後、いくつかのスクリプトとプロセスを呼び出し、プログラミング上追加が必要なISAサーバー・フィルタの構成を行うconfigureISA4webgate.batを検索します。 関連項目: 第27章「10g WebGate用のISAサーバーの構成」

25.7.2 Access Manager 11gで使用する10g Webゲートの検索とダウンロード

必要に応じて、次の手順を使用して10g Webゲートを取得します。ご使用のWebサーバーに適したインストール・パッケージを選択してください。

10g Webゲートの検索とダウンロード

1. 次のOracle Technology Networkで、最新のOracle Access Manager 10g証明書を確認します。

   http://www.oracle.com/technetwork/middleware/id-mgmt/fusion-certification-100350.html

2. 次のOracle Fusion Middleware 11gR1ソフトウェア・ダウンロードに移動します。

   http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html

3. ページの一番上のライセンス契約に同意をクリックします。

4. Access Manager WebGates (10.1.4.3.0)の行から、該当するプラットフォームのダウンロード・リンクをクリックし、画面の指示に従います。

5. インストールする10gアクセス・システムの言語パックに、WebGateインストーラを格納します。

6. 第25.7.3項「Webゲート10gのインストールの開始」に進みます。

25.7.3 Webゲート10gのインストールの開始

次の手順によって、Webサーバー・タイプに関係なく共通のウォーク・スルーを行います。

インストール・オプションを識別し、自分の環境に合わない場合はスキップできます。WebGateのインストール中は、特定の時点で情報が保存されます。WebGateのインストール処理は必要に応じて取り消せます。ただし、WebGateのインストールを知らせるメッセージを受領後にWebGateのインストールを取り消す場合は、コンポーネントのアンインストールが必要です。

注意: HP-UXおよびAIXシステムでは、-is:tempdirパス・パラメータを使用して、十分な領域があるディレクトリにインストールを指示できます。パスは、十分な領域があるファイル・システムへの絶対パスでなければなりません。

WebGate 10gのインストールの開始手順

1. WebGate 10gをホスティングするコンピュータ上で、Webサーバーの管理者権限のあるユーザーとしてログインします。

2. Webサーバー・インスタンスを停止します。

3. 該当するプラットフォーム、インストール・モード、Webサーバー用のWebGateインストーラを起動します。例:

   GUIメソッド:

   Windows— Oracle_Access_Manager10_1_4_3_0_Win32_API_Webgate.exe
   

   コンソール・メソッド:

   Solaris—./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_Webgate
   Linux—./ Oracle_Access_Manager10_1_4_3_0_linux_API_Webgate
   

   ここでAPIは、Webサーバーで使用するAPI (IIS Webサーバーの場合はISAPIなど)を示します。

4. 「ようこそ」画面を閉じます(管理者権限で画面に表示された指示に従います)。

5. WebGateのインストール・ディレクトリを指定します。

6. LinuxまたはSolaris: このコンピュータ上のGCCランタイム・ライブラリの場所を指定します。

7. 言語パック - デフォルトのロケールとインストールするその他のロケールを選択して、「次へ」をクリックします。

8. プレゼンテーション・ワークシートにインストール・ディレクトリをまだ記録していない場合は記録し、「次へ」をクリックして続行します。

   WebGateのインストールが開始し、数秒間かかることがあります。Windowsシステムでは、Microsoft管理インタフェースの構成を知らせる画面が表示されます。

   インストール・プロセスはまだ完了していません。トランスポート・セキュリティ・モードの指定を求められます。この時点では、情報のリストアに戻れません。

9. 必要に応じて、ダウンロード済のGCCライブラリを解凍した場所を指定します。

25.7.4 トランスポート・セキュリティ・モードの指定

少なくとも1つのOAM Server間のトランスポート・セキュリティは一致する必要があります。

関連項目: 付録C「通信の保護」

トランスポート・セキュリティ・モードの指定手順

1. オープン、簡易またはWebGate用の証明書である必要があります。

2. 指定したトランスポート・セキュリティ・モードに従って進みます。

   • 簡易または証明書モード: 「セキュアな通信のための証明書のリクエストまたはインストール」に進みます。

   • オープン・モード: 第25.7.7項「WebゲートWebサーバー構成の更新」に進みます。

25.7.5 安全な通信のための証明書の要求またはインストール

Access Manager 11g環境でオープン・モード・トランスポート・セキュリティを使用する場合は、第25.7.7項「WebゲートWebサーバー構成の更新」までスキップできます。

Webゲート証明リクエスト: OAMサーバーに信頼されているルートCAに送信する必要があるリクエスト・ファイル(aaa_req.pem)を生成します。ルートCAは、WebGate用にインストール可能な署名付きの証明書を返します。

リクエストした証明書を\WebGate_install_dir\access\oblix\configディレクトリにコピーし、WebGate Webサーバーを再起動する必要があります。

関連項目: 付録C「通信の保護」

WebGate 10g用の証明書をリクエストまたはインストールする手順

1. 証明書をリクエストするのか、インストールするのかを指定し、「次へ」をクリックして続行します。例:

   • 証明書をリクエストする場合は、手順2に進みます。

   • 証明書をインストールする場合は、手順3に進みます。

2. 証明書をリクエストします。

   • リクエストされた情報を入力し、次に「次へ」をクリックして、証明書のリクエストをCAに発行します。

   • 証明書のファイルの場所が表示された場合は、それを記録します。

   • 証明書がある場合は「はい」をクリックして、手順3から続行します。それ以外の場合は、第25.7.7項「WebゲートWebサーバー構成の更新」までスキップします。

3. インストール中に証明書をインストールする場合: 次のファイルへの絶対パスを指定して、「次へ」をクリックします。

   WebGate_install_dir\access\oblix\config

   • cacert.pemはOracleが提供したopenSSL認証局の署名を受けた証明書リクエストです。

   • password.xmlには、インストール中に指定されたランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています。これを使用して、他の顧客が同一CAを使用しないようにします。Access Managerは、OAM AgentとOAM Server間の初期ハンドシェイク中に追加のパスワード・チェックを行います。

   • aaa_key.pemには秘密鍵(openSSLによって生成)が含まれています。

   • aaa_cert.pemはPEM形式の署名済証明書です。

   • 第25.7.7項「WebゲートWebサーバー構成の更新」に進みます。

25.7.6 Webゲートの構成詳細の指定

Access Manager 11gでのWebゲートのプロビジョニングと登録の間に指定した情報を使用して次のタスクを実行します。

WebGateの構成詳細の指定手順

1. アクセス・システム・コンソールで指定された、WebGateに必要な情報を提供します。

   • WebGate ID—登録中に指定したエージェント名を入力します。

   • WebGateパスワード—登録中にパスワードを指定した場合は、それを入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。

   • アクセス・サーバーID - 必要な場合は、このWebゲートを登録したOAMサーバーの名前を入力するか、選択した任意の名前を使用します。

   • アクセス・サーバー・ホスト名 - このWebゲートを登録するOAMサーバーのDNSホスト名を入力します。

   • ポート番号 - OAM Proxyプロキシが実行中のポートを入力します。プロビジョニング中にポートを入力しなかった場合のデフォルト・ポートは3004です。

2. 「次へ」をクリックして続行します。

25.7.7 WebゲートWebサーバー構成の更新

WebサーバーがWebGateで作動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、自動および手動の両方の更新手順が含まれています。

注意: Webサーバーの手動構成手順 自動更新に進むかどうかを尋ねられたら「いいえ」をクリックし、次に「次へ」をクリックします。 WebゲートWebサーバーの手動設定をサポートするために表示される画面を確認し、第25.7.7.1項「Webサーバーの手動構成」を参照します。 Webゲートのインストール画面に戻り、「次へ」をクリックして、第25.5項「Access Manager 11gを使用した10g Webゲートのリモート登録」の手順に進みます。

Webサーバーの自動構成手順

1. 「はい」をクリックしてWebサーバーの自動更新を行い、「次へ」をクリックします(または「いいえ」をクリックして第25.7.7.1項「Webサーバーの手動構成」を参照します)。

   • ほとんどのWebサーバー - Webサーバー構成ファイルを含むディレクトリの絶対パスを指定します。

   • IIS Webサーバー - プロセスがすぐに開始し、1分以内に終了します。詳細は、第28章「10g WebゲートのためのIIS Webサーバーの構成」を参照してください。

     続行する前に特殊な指示があるかもしれません。NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイルシステム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、これらの指示を無視できます。

   • Sun Webサーバー - 続行する前に、必ずWebサーバー管理コンソールで変更を適用しておいてください。

   Webサーバーの構成が更新されたことを知らせる画面が表示されます。

2. 「次へ」をクリックして第25.7.8項「Webゲートのインストール終了」に進みます。

25.7.7.1 Webサーバーの手動構成

WebGateのインストール中にWebサーバーの自動更新を取り消した場合は、手動でタスクを実行する必要があります。

注意: WebGateのインストール中に手動構成プロセスを起動した場合は、次の手順1をスキップできます。

WebサーバーのWebGate用手動構成手順

1. Webブラウザを起動し、必要に応じて次のファイルを開きます。例:

   \WebGate_install_dir\access\oblix\lang\langTag\docs\config.htm

   ここで、\WebGate_install_dirはWebGateがインストールされているディレクトリです。

   
   

   注意: 64ビットのWebGateインストール中にIISの手動構成を選択した場合は、次のパスで詳細を入手できます。 WebGate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm

   
   

2. サポートされているWebサーバーから選択し、各Webサーバー・タイプに固有のすべての指示に従います。

   • WebGateの設定中に修正が必要なファイルのバックアップ・コピーを作成し、やり直しが必要になる場合に備えます。

   • Webサーバーが該当するAccess Managerファイルを認識できるように、元の設定指示に戻って、すべての指示内容を完了したことを確認します。

     
     

     注意: 間違ってウィンドウを閉じてしまった場合は、手順1に戻って、該当するリンクを再度クリックします。一部の設定では新しいブラウザ・ウィンドウが開いたり、「コマンド」ウィンドウへの入力が求められることがあります。

     
     

3. 第25.7.8項「Webゲートのインストール終了」に進みます。

25.7.8 Webゲートのインストール終了

ReadMe情報に、マニュアルとOracleに関する詳細が記載されています。

注意: 64ビットのIIS Webゲートをインストールする場合は、第28.8項「64ビットWebゲートのインストールの終了」を参照してください。

WebGateのインストール終了手順

1. ReadMeの情報を確認し、次に「次へ」をクリックして閉じます。

2. 「終了」をクリックして、インストールを終了します。

3. Webサーバーを再起動して構成の更新を反映します。

   • IIS Webサーバー—WebGateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。

   • セキュリティ強化されたLinux: このプラットフォームにインストールしたばかりのWebGateに対して、chconコマンドを実行します。

4. 先に次のトピックに進んでから、アーティファクトと証明書をインストールします。

   • ネイティブPOSIXスレッド・ライブラリ: NPTLを使用する場合は、Access Manager Webゲートのインストール時に、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要はありません。

   • Apache2、OHS2、IHS2 Webサーバー: 第26章「Apache、OHS、IHSの10g Webゲート用の構成」

   • IIS Webサーバー: WebGateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。第28章「10g WebゲートのためIIS Webサーバーの構成」も参照してください。

   • ISA Webサーバー: 第27章「10g WebゲートのためのISAサーバーの構成」

   • Lotus Domino Webサーバー: 第29章「10g WebゲートのためのLotus Domino Webサーバーの構成」

5. 第25.7.9項「アーティファクトと証明書のインストール」に進みます。

25.7.9 アーティファクトと証明書のインストール

ObAccessClient.xmlファイルはプロビジョニングで生成されるものの1つです。WebGateのインストール後、このファイルをWebGateインストール・ディレクトリにコピーする必要があります。WebGateのインストール後に署名済のWebGate 10g証明書を受領した場合、次の手順に従ってインストールできます。

前提条件

Webサーバーの構成

WebGate 10g用のアーティファクト(および証明書)をインストールする手順

1. ObAccessClient.xmlをコピーします。

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/lib

   password.xmlをコピーします。

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config

2. aaa_key.pemとaaa_cert.pemをコピーします:

   • コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config/simple

3. WebGate Webサーバーを再起動します。

25.7.10 Webゲートのインストールの確認

WebGateのインストールとWebサーバーの更新後、WebGateの診断を有効にしてWebGateが正しく実行されていることを確認できます。

WebGateの診断確認手順

1. Access Manager 11gコンポーネントが稼働していること確認します。

2. WebGate診断用に次のURLを指定します。例:

   ほとんどのWebサーバー - http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.cgi?progid=1

   IIS Webサーバー - http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.dll?progid=1

   ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。

3. WebGate診断ページが表示されます。

   • 成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているので、ページを閉じることができます。第25.8項「11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成」に進みます。

   • 失敗した場合: 第25.9項「Access Manager 11gデプロイメントからの10g Webゲートの削除」の説明に従って、Webゲートをアンインストールして再インストールする必要があります。

25.8 11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成

この項では次のトピックを記載しています:

• 10g OAMエージェントと11g OAMサーバー使用時の集中ログアウトについて

• 11g OAMサーバー使用時の10g Webゲートの集中ログアウト・スクリプトについて

• Access Manager使用時の10g Webゲートの集中ログアウトの構成

25.8.1 11g OAMサーバー使用時の10g Webゲートの集中ログアウト処理について

次のプロセス概要では、Access Managerの集中ログアウト・プロセスを要約して示しますが、このプロセスが発生するのは、保護機能を果たす10g Webゲートが構成されたWebサーバー上にアプリケーションがデプロイされたときです。

ログアウトは、登録されたOAMエージェント(この場合は10g WebGate)に対して構成されたlogout.htmlファイルがアプリケーションによって起動されると開始されます。

プロセス概要: 11g OAMサーバー使用時の10g Webゲートの集中ログアウト

1. アプリケーションが、10g Webゲートに対して構成されたlogout.htmlファイルを起動します。

   アプリケーションはend_urlも問合せ文字列としてlogout.htmlに渡します。end_urlパラメータはURIまたはURLとすることができます。例:

   /oamsso/logout.html?end_url=/welcome.html
   or
   /oamsso/logout.html?end_url=http://my.site.com/welcome.html
   

2. WebGateはそのドメインのObSSOCookieを削除して、logout.htmlスクリプトをロードします。

3. end_urlパラメータにhost:portが含まれていない場合、logout.htmlスクリプトはローカル・サーバーのhost:portを取得してend_urlパラメータをURLとして構成します。例:

   http://serverhost:port/oam/server/logout?end_url=http://my.site.com/ 
   welcome.html
   

4. logout.html内のロジックがOAMサーバーにリダイレクトします。例:

   http://myoamserverhost:port/oam/server/logout?end_url=http://my.site.com/
   welcome.html
   

5. OAMサーバーが次のようにログアウトを実行します。

   1. サーバー側のユーザーに関連付けられたセッション情報をクリーン・アップします。

   2. end_urlを確認して、コールバックURLを含むページをユーザーのブラウザに送信します。

      
      

      注意: Logout Callback URLは、「OAM Webゲートの作成ページとパラメータについて」で説明するように、拡張されたOAMエージェント登録ページで指定します(または、表16-3「拡張された11gおよび10g Webゲート/アクセス・クライアント登録ページの要素」で説明するリモート登録テンプレートで指定します)。

      
      

   3. コールバック・ページから、各WebGateの特定URIに対して新しいリクエストが開始されます。このリクエストが特定ドメインの特定WebGateに届くと、そのドメインのObSSOCookieは消去されます。

   4. ユーザーは、ログアウト・スクリプト内のend_urlにリダイレクトされます。ただし、end_urlパラメータがない場合はOAMサーバーによって適切なメッセージが送信されます。

詳細は、第25.8.2項「11g OAMサーバー使用時の10g Webゲートの集中ログアウト・スクリプトについて」を参照してください。

25.8.2 11g OAMサーバー使用時の10g Webゲートの集中ログアウト・スクリプトについて

10g Webゲートでは、シングルおよびマルチ両方のDNSドメイン集中ログアウト処理にlogout.htmlスクリプトが必要です。logout.htmlは、実際にログアウトを行うJavaScriptsをアクティブにします。

注意: 11g Webゲートではlogout.htmlスクリプトを使用しないかわりに、第25.8項「11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成」に示すようにエージェント登録をさらに詳細に構成する必要があります。

例25-1は、ユーザー固有の環境に合せて一定の行を編集することによりテンプレートとして使用できる、logout.htmlスクリプトです(編集の必要性についてはスクリプトの最上部に記述されています)。たとえば、SERVER_LOGOUTURLを変更する必要があります。この例の後に追加的情報を示します。

例25-1 logout.htmlスクリプト

<html>
<head>
<script language="javascript" type="text/javascript">
///////////////////////////////////////////////////////////////////////////////
//Before using, you need to change the values of:
//a. "oamserverhost" to point to the host where the OAM Server is running.
//b. "port" to point to the port where the OAM Server is running.
///////////////////////////////////////////////////////////////////////////////
var SERVER_LOGOUTURL = "http://oamserverhost:port/oam/server/logout";
///////////////////////////////////////////////////////////////////////////////

function handleLogout() {

    //get protocol used at the server (http/https)
    var webServerProtocol = window.location.protocol;
    //get server host:port
    var webServerHostPort = window.location.host;
    //get query string present in this URL
    var origQueryString = window.location.search.substring(1);
    var newQueryString = "";

    //vars to parse the querystring
    var params = new Array();
    var par = new Array();
    var val;

    if (origQueryString != null && origQueryString != "") {
        params = origQueryString.split("&");
        for (var i=0; i<params.length; i++) {
          if (i == 0)
            newQueryString = "?";

        if (i > 0)
            newQueryString = newQueryString + "&";

        par = params[i].split("=");

        //prepare a new query string, if the end_url value needs to be changed
        newQueryString = newQueryString + (par[0]);
        newQueryString = newQueryString + "=";
        val = par[1];

        if ("end_url" == par[0]) {
        //check if val (value of end_url) begins with "/" or "%2F" (is it an URI?)
        if (val.substring(0,1) == "/" || val.substring(0,1) == "%") {
                //modify the query string now
                val = webServerProtocol + "//" + webServerHostPort + val;
            }
        }  
        newQueryString = newQueryString + val;
    }
    }
    //redirect the user to this URL
    window.location.href = SERVER_LOGOUTURL + newQueryString;
}
</script>
</head>

<body onLoad="handleLogout();">

</body>
</html>

プロセス概要: logout.htmlのロジック

1. 着信リクエストからホストとポートを取得します。

2. 問合せ文字列からend_urlパラメータを取得します。

   end_urlパラメータがURLでない場合は、logout.htmlスクリプトがタスク1のホストとポートを使用してURLを作成します。次の項の「logout.html内のend_urlパラメータのガイドライン」を参照してください。

3. OAMサーバーのログアウトURL (SERVER_LOGOUTURL)へのリダイレクト。例: http://myoamserver/host:port/oam/server/logout

   • プロセス2で作成したend_urlを問合せ文字列として使用。

   • 問合せ文字列内の他のすべての問合せ文字列パラメータを保存。

logout.html内のend_urlパラメータのガイドライン

end_urlパラメータはURIまたはURLとすることができます。

• end_url問合せ文字列がホストとポートを持たないURIの場合、logout.htmlは、logout.htmlがホストされるWebサーバーのホストとポートを決定することによってURLを作成しなければなりません。例:

  http://myoamserverhost:port/oam/server/logout?end_url=http://my 
  .site.com/welcome.html
  

• end_urlパラメータがホストとポートを持つURLである場合、logout.htmlスクリプトは、URLを作り直すことなくそのURLをそのまま渡します。

注意: ADFアプリケーションは、第A.3項「Oracle ADFコード・アプリケーションの集中ログアウトの構成」に示すように、ログアウト後にユーザーをどこへリダイレクトするかを示すend_urlパラメータを渡す必要があります。 /<app context root>/adfAuthentication?logout=true&end_url=<any uri>

logout.html内のログアウト・リンク指定方法を表25-5に示します。

表25-5 end_urlパラメータ指定の例

内容	end_urlの値の例
URI	/oamsso/logout.html?end_url=<someUri> 例: /oamsso/logout.html?end_url=/welcome.html
URL	/oamsso/logout.html?end_url=<someUrl> 例: /oamsso/logout.html?end_url=http://my.site.com/welcome.html

25.8.3 Access Manager使用時の10g Webゲートの集中ログアウトの構成

次の手順では、Access Manager使用時の10g Webゲートの集中ログアウト構成方法を示します。

注意: オプションのタスクや、マルチDNSドメインのログアウトだけに必要なタスクは識別されているので、必要な場合以外はスキップすることができます。

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に記載された手順例には、WebLogic Serverドメインにアプリケーションをデプロイする手順が含まれています。

タスクの概要: 10g Webゲート向けの中央管理ログアウトの構成。

1. デフォルトのログアウト・ページ(logout.html)を作成し、WebGateインストール・ディレクトリ上でそのページを使用できるようにします。

   1. 例25-1「logout.htmlスクリプト」に基づき、Webゲート用のlogout.htmlの作成と編集を行います。

   2. 作成または編集したlogout.htmlスクリプトを次のディレクトリ・パスに保存します。

      WebGate_install_dir/oamsso/logout.html
      

      
      

      注意: logout.htmlを他の場所に置く場合は、エージェント登録時にログアウト・リンクを正しく指定してlogout.htmlファイルの正しい場所を参照するようにしてください。

      
      

   3. 必要に応じて次のステップを実行します。

2. ステップ1にあるlogout.htmlで、ユーザーを11g OAMサーバー上のこの中央管理ログアウトのURI(/oam/server/logout)にリダイレクトする設定になっていることを確認します。

3. オプション: 第25.8.2項「logout.html内のend_urlパラメータのガイドライン」に示すように、ログアウト後にユーザーがリダイレクトされる場所を示すend_urlパラメータをアプリケーションが渡せるようにします。

4. 10g Webゲートが構成されているWebサーバー・ファイルを確認し、次の説明に従って適切な手順を実行します。

   • OHS Webサーバーのhttpd.confファイル: 次の行が存在する場合、それらを削除します。

     <LocationMatch "/oamsso/*">
     Satisfy any
     </LocationMatch>
     

   • その他のWebサーバーの構成ファイル: 次の行を追加します。

     Alias /oamsso "WebGateInstallationDirectory/oamsso"
     

25.9 Access Manager 11gデプロイメントからの10g Webゲートの削除

必要に応じて、次の手順を使用して、Access Manager 11gデプロイメントから10g Webゲートを削除します。

注意: エージェントの登録を削除しても、関連付けられたホスト識別子、アプリケーション・ドメイン、リソースまたはエージェント・インスタンスは削除されません。

考慮事項

Webサーバーの構成変更: Webサーバーの構成変更は、WebGateのアンインストール後に手動で元に戻す必要があります)。追加内容の詳細は、ご使用のWebサーバーに該当する章を参照してください。

WebGate IISフィルタ: WebGateと関連するフィルタをIISから完全に削除するには、IIS内のリストからフィルタを削除するだけでは不十分です。IISは設定のすべてをメタベース・ファイルに保持します。Windows 2000以降では、これは手動で変更できるXMLファイルです。

前提条件

このエージェントに関連付けられたアプリケーション・ドメイン、リソースおよびポリシーを評価し、別のエージェントを使用するように構成されているのか、削除できるのかを確認してください。

10g WebGateのアンインストール手順

1. 削除するWebGateのWebサーバーを無効にします。

   
   

   注意: Webサーバーを無効にしなかった場合、アンインストールは失敗し、バックアップ・フォルダは削除されません。この場合、バックアップ・フォルダを手動で削除する必要があります。

   
   

2. Oracle Access ManagementコンソールのWebゲート登録ページで、「状態」オプションの横の「無効」ボックスをクリックしてWebゲートを無効化します。

3. 言語パック: インストールされている言語パック(デフォルトの管理者言語(ロケール)として選択されているものを除く)を次のように削除します。

   • コンポーネントのアンインストール・ディレクトリ内にある、該当する言語パックを検索します。例:

     
     WebGate_install_dir\uninstIdentityLP_fr-fr
     \uninstaller.exe
     

   • 言語パック・アンインストーラ・プログラムを実行して、ファイルを削除します。

   • このプロセスを繰り返し実行して、関連するコンポーネントから同じ言語パックを削除します。

   • WebGate Webサーバーを停止して再起動し、適切な言語サポートを再初期化します。

   • このプロセスを繰り返し実行して、各言語パックを削除します(デフォルトの管理者言語(ロケール)として選択されているものを除く)。

4. 次の手順を実行して10g WebGate 構成データを削除します。

   • Access Managerコンポーネントのインスタンスが1つしかない場合は、手順4を完了して削除します。

   • コンポーネントのインスタンスが複数ある場合は、手順5も参照してください。

5. 特定のプログラムのアンインストール・プログラムを検索して実行し、Access Managerファイルを削除します。例:

   WebGate_install_dir\access\_uninstWebGate\uninstaller.exe

   
   

   注意: UNIXシステムではuninstaller.binを使用します

   
   

6. 複数のインスタンス: 複数のWebGateインスタンスがあり、そのうちの1つ、またはすべてを削除する場合は、プラットフォーム固有のメソッドを使用する必要があります。

   • Windows: 最後のコンポーネントは、プログラムの追加/削除でアンインストールできます。それ以外は、\access \uninstComponentディレクトリからアンインストール・プログラムを実行してアンインストールできます。

   • UNIX: 常にuninstaller.binを実行する必要があります。

7. Webサーバー構成に対するAccess Manager関連の更新を削除します。特定のWebサーバーの詳細は、第26章「Apache、OHS、IHSの10g Webゲート用の構成」、第27章「10g WebゲートのためのISAサーバーの構成」、第28章「10g WebゲートのためのIIS Webサーバーの構成」および第29章「10g WebゲートのためのLotus Domino Webサーバーの構成」を参照してください。

8. Webサーバーを再起動します。

9. 特に再インストールを予定している場合には、WebGate_install_dirディレクトリが残っている場合は削除します。