Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerベース環境を初めて設定する場合の詳細を示します。Oracle Adaptive Access Managerをインストールする場合、実行可能ファイル、JARファイル、ライブラリなどのバイナリ・ファイルをインストールします。次に、構成ツールを使用してソフトウェアを構成します。
既存のOracle Adaptive Access ManagerをOracle Adaptive Access Manager 11gリリース2 (11.1.2)にアップグレードする方法は、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』を参照してください。
この章には次の項が含まれます:
インストール・プロセス(インストール後の手順も含む)の完了後、グラフィカル・ユーザー・インタフェースまたはコマンド行ツールを使用して認証メカニズム、リスク・ベースのチャレンジ方法、ポリシー管理および統合を管理するには、Oracle Adaptive Access Managerのベース環境を設定する必要があります。
OAAM Webサービスの保護に関する情報も提供されます。
表2-1に、ベースとなるOracle Adaptive Access Manager環境を設定する高レベル・タスクの概要を示します。
表2-1 OAAMベース環境の設定
番号 | タスク | 情報 |
---|---|---|
1 |
前提条件を確認します。 |
詳細は、「前提条件」を参照してください。 |
2 |
CLI環境を設定します。 |
詳細は、「CLI環境の設定」を参照してください。 |
3 |
暗号化とデータベース資格証明を設定します。 |
詳細は、「暗号化およびデータベース資格証明の設定」を参照してください。 |
4 |
OAAMユーザーを作成します。 |
詳細は、「OAAMユーザーの作成」を参照してください。 |
5 |
OAAMスナップショットをインポートします。 |
詳細は、「OAAMスナップショットのインポート」を参照してください。 |
6 |
IPロケーション・データをインポートします。 |
詳細は、「IPロケーション・データのインポート」を参照してください。 |
7 |
タイムゾーンの設定。 |
詳細は、「OAAM管理コンソールですべてのタイムスタンプに使用されるタイム・ゾーンの設定」を参照してください。 |
8 |
デプロイメントで使用する場合はOTPを有効化します。 |
詳細は、「OTPの有効化」を参照してください。 |
9 |
OAAM Webサービスを保護します。 |
詳細は、「OAAM Webサービス・アクセスの保護」を参照してください。 |
このマニュアルのすべてのタスクは、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』で説明されているようにOracle Adaptive Access Manager 11gをインストールし、初期構成を完了していることを前提としています。
注意: OAAMで推奨されるデータベースのバージョンは、Oracle Database Enterprise Editionです。 |
Oracle Adaptive Access Managerのコマンド行インタフェース(CLI)スクリプトでは、Oracle Adaptive Access Manager管理コンソールを使用しないで様々なタスクを実行できます。
CLI作業フォルダの設定
CLIスクリプト起動のプロパティの指定(オプション)
資格証明ストア・フレームワーク(CSF)の構成の設定
Oracle Adaptive Access Managerデータベース資格証明の設定
この項では、CLIフォルダ$IDM_ORACLE_HOME
/oaam/cli
を作業ディレクトリ(oaam_cli
など)にコピーします。
注意: IDM_ORACLE_HOME フォルダ(Oracle Identity Managementソフトウェアをインストールしたフォルダ)内にあるファイルを編集または変更することは推奨されないため、このタスクが必要になります。 |
作業ディレクトリを作成します。
mkdir work
cd work
mkdir oaam_cli
次のコマンドを実行して、oaam_cli
フォルダを作業ディレクトリにコピーします。
UNIXの場合:
次のコマンドを実行します。
cp -r IDM_ORACLE_HOME/oaam/cli ~/work/oaam_cli
Windowsの場合
次のコマンドを実行します。
xcopy/s IDM_ORACLE_HOME\oaam\cli c:\work\oaam_cli
フォルダ全体がコピーされるように、求められたらD=directory
を選択します。
CLIスクリプトは起動時に、ミドルウェアのホームの場所とOracle WebLogicのインストール場所を必要とします。11.1.2.1.0以降では、これらをoaam_cli.properties
で指定するオプションがあります。以前のバージョンでは、この情報を含む環境変数を設定するか、この情報をコマンド行で入力する必要がありました。
資格証明ストアは、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を保持できるリポジトリです。Oracle Platform Security Servicesは資格証明ストア・フレームワーク(CSF)を備えています。これは、アプリケーションで資格証明を安全に作成、読取り、更新および管理する際に使用できる一連のAPIです。OAAMではCSF APIを使用して資格証明にアクセスします。資格証明はOracle WebLogic Serverドメイン内のCSFに格納され、Oracle Fusion Middleware Enterprise Manager ControlまたはOracle WebLogic Scripting Tool (WLST)を使用して管理します。
CSFに格納されているOAAM暗号化キーにアクセスするには、次のいずれかのメカニズムを選択します。
Mbeanを含まないCSF
Mbeanを含むCSF
このアプローチに関する重要な注意事項は次のとおりです。
この方法では、Oracle Adaptive Access Managerコマンド行ユーティリティ・スクリプトをWebLogic Serverと同じコンピュータで実行する必要があります。
この方法では、WebLogic管理者とパスワードを指定する必要はありません。
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法はお薦めしません。
このメカニズムを使用するには、cli
フォルダをコピーした作業フォルダに移動し、conf/bharosa_properties/oaam_cli.properties
ファイルをテキスト・エディタで開いて、次のプロパティを設定します。
表2-3 Beanを含まないCSFを使用するためのoaam_cli.propertiesの値
プロパティ名 | プロパティ値に関する注意事項 |
---|---|
|
|
|
$DOMAIN_HOME/config/fmwconfig/jps-config-jse.xml |
|
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
|
追加のTopLinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のToplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
|
この値を変更するのは、Oracle Adaptive Access ManagerスキーマがOracle以外のデータベースにある場合のみです。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
このアプローチに関する重要な注意事項:
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法をお薦めします。
この方法では、Oracle Adaptive Access Manager WebLogic Serverにリモートで接続できます。
この方法では、Oracle Adaptive Access Manager WebLogic管理者ユーザーとパスワードを指定する必要があります。
MBeanを含むCSFを使用してOracle Adaptive Access Managerデータベースの詳細を構成するには、cli
フォルダをコピーした作業フォルダに移動し、conf/bharosa_properties/oaam_cli.properties
ファイルをテキスト・エディタで開いて、次のプロパティを設定します。
表2-4 Beanを含むCSFを使用するためのoaam_cli.propertiesの値
プロパティ名 | プロパティ値に関する注意事項 |
---|---|
|
|
|
WebLogic管理サーバーが実行されるホスト名 |
|
WebLogic管理サーバーのポート番号。通常は |
|
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
|
追加のOracle Toplinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のOracle Toplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
|
この値を変更するのは、Oracle Adaptive Access ManagerスキーマがOracle以外のデータベースにある場合のみです。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
|
必要のないかぎり、この値は変更しないでください。 |
資格証明ストア・フレームワークでのデータベース資格証明の構成には、次の手順があります。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、データベース資格証明(ユーザー名およびパスワード)をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークに追加します。これらの資格証明は、Oracle Adaptive Access Managerコマンド行ユーティリティで使用されます。
WebLogic管理サーバーおよびOracle Adaptive Access Managerデータベースの詳細を使用して、Oracle Adaptive Access Manager CLIユーティリティで使用されるプロパティ・ファイルを構成します。
資格証明ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。図2-1に、データベース資格証明の設定を示します。
CSFでデータベース資格証明を設定する手順は、2.4.6項「資格証明ストア・フレームワークでのOracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
CSFでOracle Adaptive Access Managerデータベース資格証明を設定するかわりに、persistence.xml
を使用する場合は、次の手順に従ってください。ただし、このアプローチは推奨されておらず、サポートもされていません。
cli
フォルダをコピーした作業フォルダに移動します。テキスト・エディタでファイルconf/bharosa_properties/oaam_cli.properties
を開き、oaam.db.toplink.useCredentialsFromCSF
のプロパティ値をfalse
に設定します。
次の例のように、関連するeclipselink.jdbc
プロパティを編集して、Oracle Adaptive Access Managerデータベース接続の詳細をMETA-INF/persistence.xml
ファイルで更新します。
<property name="eclipselink.jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/> <property name="eclipselink.jdbc.url" value="jdbc:oracle:thin:@dbhost.mydomain.example.com:1521/SERVICE_NAME"/> <property name="eclipselink.jdbc.user" value="OAAM_DB_USER"/> <property name="eclipselink.jdbc.password" value="DB_Password"/>
ここで
eclipselink.jdbc.driver
は、ドライバ・クラスの完全修飾名です。
eclipselink.jdbc.url
は、ドライバ固有のURLです。
eclipselink.jdbc.user
は、データベース接続に使用されるユーザー名です。
eclipselink.jdbc.password
は、データベース接続の検証に使用されるパスワードです。
oaam_serverおよびoaam_adminの初回起動時に暗号化キーが存在しない場合は自動的に生成されます。
Oracle Adaptive Access Managerでは、秘密鍵を使用して、資格証明ストア・フレームワークに格納されたデータが暗号化されます。暗号化では、Oracle Adaptive Access Manager内のデータが不正なアクセスから保護されます。この処理では、メソッドとキーを使用して、プレーン・テキストを判読不可能な形式にエンコードします。暗号化された情報を復号化し、再度読めるようにするには、キーが必要です。キーを所有し、認可されているユーザーは、同じキーを使用して暗号化された情報を復号化できます。
秘密鍵について
Oracle Adaptive Access Managerでは、資格証明ストア・フレームワークに格納されたデータを暗号化するには秘密鍵を設定する必要があります。これらの秘密鍵は、Oracle Enterprise Manager Fusion Middleware Controlを使用して、WebLogicサーバーの資格証明ストア・フレームワークに追加できます。
OAAMが機能するために必要な3つのキーを作成する必要があります。
oaam_db_key
DESede_db_key_alias
DESede_config_key_alias
oaam_db_key
はデータベースにアクセスするために使用され、手動で追加する必要があります。oaam_db_key
の詳細は、2.3.4項「Setting Up Oracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
DESede
キーはデータを暗号化するために使用されます。この項の冒頭で説明したように、これらのキーが存在しない場合は、OAAMサーバーによって最初の起動時に作成されます。その DESede
キーを使用することも、独自のキーを作成することもできます。
独自のDESede
キーを使用する場合は、作成および暗号化について次の2つの選択肢があります。
独自の秘密鍵(文字列)を用意し、encodeKey.sh
を使用してエンコードしてその値を保存するか、または
generateEncodedKey.sh
を使用して1つの手順でキーを生成してエンコードします。
値がサーバーによって生成される場合、またはgenerateEncodedKey.sh
を使用する場合、秘密のフレーズはわかりません。エンコードされた値のみがわかります。この値はバックアップする必要があります。独自の秘密鍵を使用する場合は、エンコードされた値を再生成できます。
暗号化の設定
暗号化の設定には、次の手順があります。
構成値とデータベースの両方の秘密鍵(対称鍵)が使用可能であることを確認します。秘密鍵がない場合は、genEncodedKey
コマンドを使用して、エンコードされた対称鍵を生成します。
encodeKey
コマンドのbase64encode
オプションを使用してキーをエンコードします。genEncodedKey
コマンドを使用してキーを生成した場合、この手順は必要ありません。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、エンコードされた秘密鍵をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークの別名に追加します。
資格証明ストアは、ユーザー名とパスワード、または一般的な資格証明(証明書)を格納するためのリポジトリです。資格証明ストアを使用するメリットは、アプリケーションにパスワードがクリアテキストで格納されず、パスワード保護に独自のソリューションを考案する必要がないことです。これにより、管理者および開発者は、一貫性のある資格証明リポジトリを使用して作業できる可能性が高くなります。
Oracle Adaptive Access Managerの暗号化およびデータベース資格証明の設定の前提条件は次のとおりです。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がない場合は、ドメインの作成中にOracle Adaptive Access Manager 11gがOracle Enterprise Manager Fusion Middleware Controlを使用して構成されていることを確認します。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がある場合は、MW_HOME
\IDM_ORACLE_HOME
\oaam\cli
フォルダでコマンド行スクリプトを実行できることを確認します。
JDKがインストールされていることを確認し、java
コマンドを実行してjava
コマンドがパスにあることをチェックします。
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合は、Upgrade Assistantによって秘密鍵がOracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gの資格証明ストア・フレームワークに自動的に移行されるため、2.4.2項「構成値を暗号化するためのエンコードされた秘密鍵の設定」、2.4.3項「データベース値を暗号化するためのエンコードされた秘密鍵の設定」および2.4.4項「エンコードされた秘密鍵の生成」を省略できます。 |
構成値を暗号化するためにエンコードされた秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンド行フォルダMW_HOME
\IDM_ORACLE_HOME
\oaam\cli
に移動します。
ファイルconfig_secret_key.file
を作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=secret-key
秘密鍵が存在せず、エンコードされた秘密鍵の生成手順が必要な場合は、2.4.4項「エンコードされた秘密鍵の生成」を参照してください。
これはアルゴリズムを暗号化するための自分のキーです。
3DES
では任意のキーを使用できますが、24文字以上にする必要があります。
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
UNIXの場合
encodeKey.sh config_secret_key.file
Windowsの場合
encodeKey.cmd config_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done!
Base64 Encoded value =encoded_value
KeyStore
コマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
データベース値を暗号化するために秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンド行フォルダMW_HOME
\IDM_ORACLE_HOME
\oaam\cli
に移動します。
ファイルdb_secret_key.file
を作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=secret-key
注意:
|
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
UNIXの場合
encodeKey.sh db_secret_key.file
Windowsの場合
encodeKey.cmd db_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done!
Base64 Encoded value = encoded_value
KeyStore
コマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
エンコードされた秘密鍵を生成するには、次の手順を実行します。
次のコマンドを実行します。
UNIXの場合
genEncodedKey.sh sample.db_3des_input.properties
Windowsの場合
genEncodedKey.cmd sample.db_3des_input.properties
コマンドが正常に実行された場合は、次のような出力が表示されます。
Generated key = encoded_key
注意: 生成されたキーはすでにエンコードされているため、エンコードする必要はありません。 |
ドメインの作成後にOAAMサーバーを起動すると、OAAMサーバーによって自動的に秘密鍵が生成されます。異なる秘密鍵を使用しない場合は、それらの自動生成された秘密鍵を使用できます。
資格証明ストア・フレームワークに秘密鍵を追加するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server
:port
/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaam
と入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ画面で、「マップの選択」がoaamに設定されていることを確認します。
次の値を入力します。
「説明」フィールドに説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
別名および秘密鍵を必ずバックアップしてください。
バックアップは、ドメインを再作成し、ドメインで既存のOracle Adaptive Access Managerデータベースを指す必要がある場合に必要になります。
注意: 多くの重要な管理操作で暗号化されたデータが必要とされるため、秘密鍵を失った場合、Oracle Adaptive Access Managerデータベースの既存のデータはすべて使用できなくなります。 |
資格証明ストア・フレームワークでOracle Adaptive Access Managerデータベース資格証明を設定するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server
:port
/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaam
と入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ画面で、「マップの選択」がoaamに設定されていることを確認します。
次の値を入力します。
説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
使用したエンコードされた秘密鍵をバックアップする必要があります。Oracle Adaptive Access Manager 11gドメインを再作成する必要がある場合は、これらのキーが必要になることがあります。エンコードされた秘密鍵および別名を必ず書き留めてください。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左パネルでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
oaamを開き、タイプ「汎用」に関連付けられた対称鍵関連のエントリを選択します。
「編集」を選択します。
「資格証明」セクションに移動し、対称鍵関連のエントリをコピーして、鍵の名前を書き留めます。
前述の手順を繰り返し、データベースおよび構成の鍵をバックアップします。
注意: Oracle Adaptive Access Manager 11gドメインを削除して再作成する場合は、Oracle Adaptive Access Managerデータベースの既存のデータが正しく復号化されるように、暗号化鍵を設定するときに必ずバックアップした秘密鍵を使用してください。 |
デフォルトで、すべての暗号化フィールドは、DESede (Triple DESとも呼ばれます)を使用して暗号化されます。たとえば、このアルゴリズムは、OAAM 11gのチャレンジ質問に対するユーザーの回答を格納するために使用されます。必要に応じて、プロパティbharosa.cipher.encryption.algorithm.system.default
を変更することによって、この暗号化アルゴリズムを変更できます。
暗号化アルゴリズムの変更の決定は、環境の設定の最初に実行する必要があります。事後に変更すると、基礎となるデータは変更されず、既存のデータを使用できなくなります。
サポートされている標準の暗号化アルゴリズム
サポートされている標準の暗号化アルゴリズムは次のとおりです。
AES
DES
DESede (トリプルDES)
DESedeがデフォルトです。
異なる暗号化に切り替えるには
プロパティbharosa.cipher.encryption.algorithm.system.default
を次のいずれかに設定します。
DES
AES
新しい暗号化アルゴリズムを追加するには、次の手順を実行します。
インタフェースcom.bharosa.common.util.Password
を実装するJavaクラスを記述します。
メソッドencrypt()
およびdecrypt()
を実装します。
次の属性のあるbharosa.cipher.encryption.algorithm.enum
列挙の要素をoaam_custom.properties
ファイルに追加します。
name: アルゴリズムの名前
description: アルゴリズムの説明
classname: 手順1で作成したJavaクラスの完全修飾クラス名。
keyRetrieval.className: com.bharosa.common.util.cipher.CSFKeyRetrieval
に設定します。
prefix.system: 暗号化中に使用される接頭辞(オプション)
alias: 暗号化アルゴリズムの別名
例:
bharosa.cipher.encryption.algorithm.enum.AES_aa=99 bharosa.cipher.encryption.algorithm.enum.AES_aa.name= <Name of the algorithm> bharosa.cipher.encryption.algorithm.enum.AES_aa.description= <Description of the algorithm> bharosa.cipher.encryption.algorithm.enum.AES_aa.classnameProperty=<Fully qualified Class name of the java class developed in Step 1> bharosa.cipher.encryption.algorithm.enum.AES_aa.keyRetrieval.classname=com.bharosa.common.util.cipher.CSFKeyRetrieval bharosa.cipher.encryption.algorithm.enum.AES_aa.alias=<Alias of the encryption algorithm>
プロパティbharosa.cipher.encryption.algorithm.system.default
を新しく追加した要素名に設定します。
JARファイルおよび関連するプロパティ・ファイルをコンパイルおよび作成します。
それらのファイルをOAAM extensions WARファイルとしてパッケージ化します。
OAAM extensions WARをデプロイし、oaam_adminとoaam_serverの両方にターゲット指定します。
OAAM拡張共有ライブラリの使用方法の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』の「OAAM拡張共有ライブラリの使用によるOAAMのカスタマイズ」を参照してください。
外部または埋込みLDAPストアにユーザーを作成できます。この項には次のトピックが含まれます:
外部LDAPストアを使用する場合、そのストアに多数のOAAMロールを追加する必要があります。ロールを作成することに加え、OAAM管理コンソールへのアクセスを容易にするために、ユーザーを作成して、これらのロールを割り当てる必要があります。
この項で説明するldif
ファイルを参考にして、LDAPにユーザーおよびグループを作成します。LDAP属性によって値が異なります。例:
dn: cn=an_oaam_user, cn = Users, dc=us/in/etc, dc=companyname, dc =com/org/etc
oaam_user.ldif
dn: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com cn: oaamadmin sn: oaamadmin description: oaamadmin uid: oaamadmin objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 userpassword: mypasswd
oaam_group.ldif
dn: cn=OAAMCSRGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMCSRGroup displayname: OAAMCSRGroup description: OAAMCSRGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMCSRManagerGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMCSRManagerGroup displayname: OAAMCSRManagerGroup description: OAAMCSRManagerGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMEnvAdminGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMEnvAdminGroup displayname: OAAMEnvAdminGroup description: OAAMEnvAdminGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMInvestigationManagerGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMInvestigationManagerGroup displayname: OAAMInvestigationManagerGroup description: OAAMInvestigationManagerGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMInvestigatorGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMInvestigatorGroup displayname: OAAMInvestigatorGroup description: OAAMInvestigatorGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMRuleAdministratorGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMRuleAdministratorGroup displayname: OAAMRuleAdministratorGroup description: OAAMRuleAdministratorGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup dn: cn=OAAMSOAPServicesGroup,cn=Groups,dc=us,dc=oracle,dc=com cn: OAAMSOAPServicesGroup displayname: OAAMSOAPServicesGroup description: OAAMSOAPServicesGroup uniquemember: cn=oaamadmin,cn=Users,dc=us,dc=oracle,dc=com objectclass: top objectclass: groupofuniquenames objectclass: orclgroup
手順
LDAPへのユーザーおよびグループのロードの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Internet Directory (OID)の事前構成」を参照してください。
Oracle Adaptive Access Managerユーザーは、自分に割り当てられているロールに基づいて機能にアクセスできます。このような管理者ロールは、それぞれの職務別に割り当てられる特定の権限を持ちます。
OAAMユーザーを作成するには、次の手順を実行します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左パネルで「セキュリティ・レルム」を選択します。
「セキュリティ・レルムの概要」ページで、レルムの名前(myrealm
など)を選択します。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
新規作成したユーザーのuser1
をクリックします。
「グループ」タブをクリックします。
OAAM
接頭辞のあるグループをすべて、ユーザーuser1
に割り当てます。
「保存」をクリックします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。oaam_base_snapshot.zip
ファイルは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリに配置されています。
OAAMスナップショットをインポートする手順は、次のとおりです。
次のURLを使用して、Oracle Adaptive Access Manager管理コンソール(OAAM管理)にログインします。
http://host:port/oaam_admin
次の手順に従ってスナップショット・ファイルをシステムにロードします。
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
ダイアログが開き、現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージが表示されます。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。
oaam_base_snapshot.zip
を参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
「OK」→「リストア」をクリックします。
注意: WinXP 32ビット・オペレーティング・システムでMozilla Firefoxを使用している場合、OAAMシステムのスナップショットをOAAM環境にロードしようとすると、「スナップショット・ファイルのロードに失敗しました」 というエラーが表示される場合があります。
OAAMシステムのスナップショットをロードするときに、別のオペレーティング・システムやWebブラウザを使用します。 |
スナップショットには、OAAMにインポートする必要のある次の項目が含まれています。
英語(アメリカ合衆国)のチャレンジ質問
登録、新規アカウントのオープン、またはリセットなどの別のイベントの際、ユーザーは質問のリストから様々な質問を選択し、回答を入力します。チャレンジ質問と呼ばれるこれらの質問は、ユーザーを認証するために使用されます。
ユーザーが登録のための質問に回答できるようにするには、サポート対象の言語での質問がシステムに存在している必要があります。これらの質問では、OAAMサーバーへのログインも必要な場合があります。
認証の際に追跡されるアクターは認証エンティティと呼ばれ、ユーザー、市区町村、デバイスなどが含まれます。これらのベース・エンティティは、パターンに使用される条件を有効にする際に必要となります。
パターンは、1つのバケットを定義したり、複数のバケットを動的に作成する際に、Oracle Adaptive Access Managerによって使用されます。Oracle Adaptive Access Managerでデータが収集され、パターン・パラメータに基づいてこれらのバケットにメンバーが移入されると、動的に変化するメンバーシップとバケットの分散についてルールによるリスク評価が実行されます。
標準の構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。構成可能なアクションは、アクション・テンプレートを使用して作成されます。
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合、Oracle Adaptive Access Manager 11gのアクション・テンプレートがグローバル化されたことにより違いが生じたため、標準のアクション・テンプレートの名前や説明が多少異なっています。 |
ポリシーは、ビジネス・アクティビティや日常操作において発生する潜在的に危険なアクティビティを評価して対処できるように作成されています。
OAAMには、ルール、ユーザー・グループ、およびアクションとアラート・グループに使用されるアイテムのコレクションが付属しています。
いずれかのプロパティをカスタマイズする必要がある場合は、そのスナップショットを新しいテスト・システムにインポートし、変更を加えてエクスポートし、新しいシステムにインポートしてください。または、スナップショットを新しいシステムにインポートしてプロパティを直接変更することで、テスト・システムを完全に除外できます。
注意: アップグレードする場合には、スナップショットをインポートしないでください。この手順は、最初の初期設定の場合にのみ適用できます。スナップショットのインポートは、既存の環境を上書きし、新規のものと置き換えます。アップグレードの場合には、エンティティに対応した個別のzipファイル、定義またはポリシーをインポートします。 |
ポリシー、コンポーネント、および構成のアップグレードの場合は、バックアップを実行してから個別のファイルをインポートします。指定可能なベンダーは、次のとおりです。
ベース・ポリシーは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるoaam_policies.zip
に含まれています。
ベース認証を必要とするエンティティは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるAuth_EntityDefinition.zip
ファイルに含まれています。
デフォルト・パターンは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるOOB_Patterns.zip
ファイルに含まれています。
リスク・ポリシーは、IPロケーション・データを使用して特定のIPアドレス(ロケーション)に関連する不正のリスクを判断します。
ログインまたはトランザクションのロケーションを確認するには、このデータをOAAMデータベースにアップロードする必要があります。OAAMデータベースにデータをロードする方法は、27.3項「IPロケーション・データのインポート」を参照してください。
タイム・ゾーンでは、同じローカル・タイムを常に共有する地域が識別されます。
タイム・ゾーンはOracle Adaptive Access Manager全体で様々な目的に使用されます。タイムスタンプでは、アラートが生成された時間、ジョブのプロセス開始日と終了日、検索ページなどを示すことができます。ほとんどの場合、ユーザーは、それぞれのローカル・タイムゾーンで操作することを望みます。管理者は、OAAM管理コンソールの優先タイム・ゾーンを構成できます。
プロパティはシステム全体のタイム・ゾーン設定であり、ユーザーごとの設定ではありません。すべてのユーザーは、単一のタイム・ゾーン内に含まれる必要があります。
タイム・ゾーンとブラウザのロケール・フォーマットは相互に独立していることに注意してください。たとえば、ブラウザをen-gb
に設定したが、oaam.adf.time zone
をAmerica/Los_Angeles
に設定した場合、タイムスタンプはイギリスのロケール・フォーマットによって書式設定されますが、タイム・ゾーンは太平洋時間のままとなります。
プロパティ・エディタを使用して、oaam.adf.timezone
を希望するタイム・ゾーンに設定します。
例:
oaam.adf.timezone
= Atlantic/Reykjavik
図2-2に、「プロパティ」ページと、タイム・ゾーンについて更新するプロパティを示します。
プロパティ・エディタの使用方法は、第26章「プロパティ・エディタの使用」を参照してください。
タイム・ゾーンは、C.25項「タイム・ゾーン・プロパティ」にリストされています。
OTP Anywhereは、二次リスク・ベースのチャレンジ・ソリューションであり、構成済の帯域外チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードで構成されます。サポートされているOTPデリバリ・チャネルには、ショート・メッセージ・サービス(SMS)、電子メールおよびインスタント・メッセージングがあります。
OTPの有効化の詳細は、8項「OTP Anywhereの設定」を参照してください。
初期設定の状態のOAAMでは、WebサービスがURL/oaam_server/services
に公開されています。
渡されたユーザー資格証明が正しいかどうかが認証でチェックされます。OAAM 11g Release 2 (11.1.2.0.0)以降、OAAM Webサービスを保護するためのデフォルトのメカニズムでは、Oracle Web Services Manager (OWSM)ポリシーを使用します。SOAP認証(ユーザー名およびパスワード・リクエストを使用するHTTP Basic認証)を管理するには、Oracle Web Services Manager (OWSM)ポリシーを構成する必要があります。
認可では、WebLogic組込みユーザー・ストア内に構成されたユーザーのグループでのユーザーのメンバーシップに基づいて、リクエストされたリソースに対してユーザーがアクセスを許可されているかどうかがチェックされます。認可は、Oracle Enterprise Manager Fusion Middleware Controlを介して管理されます。
OAAM Webサービスにアクセスするための要件は、次のとおりです。
SOAP Webアクセスを構成するには、SOAPを使用したネイティブ統合のためにOAAM拡張共有ライブラリが必要です。
OAAM拡張共有ライブラリの使用方法の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』の「OAAM拡張共有ライブラリの使用によるOAAMのカスタマイズ」を参照してください。
構成可能なプロパティをoaam_custom.properties
で指定する必要があり、このファイルがクライアント・アプリケーションのJavaクラスパスにある必要があります。
OAAM Webサービスを保護するために実行する必要のあるタスクの概要を次に示します。
表2-5 OAAM Webアクセスの保護
番号 | タスク | 情報 |
---|---|---|
1 |
Webサービスの認証を有効化します。 HTTP Basic認証を |
OAAM Webサービスは、Oracle Web Services Manager (OWSM)でポリシー 詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のWebサービス認証の有効化に関する説明を参照してください。 |
2 |
有効なユーザー名およびパスワードでユーザーを作成し、OAAM Webサービスにアクセスできるように構成されるグループにそのユーザーを関連付けます。 |
ユーザー名とパスワードを使用して、SOAP認証が実装されます。Webサービス/SOAPクライアントは、OAAM Webサービスとの正常な通信のために、ユーザー名とパスワードを送信する必要があります。 このユーザー名およびパスワードは、アプリケーション・サーバーにアクセスできるユーザーに関連付けられている必要があります。そのユーザーがWebサービス上で操作を実行する権限を持つようにするには、認可ポリシーに関連付けられているグループにそのユーザーを含める必要があります。 詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のユーザーおよびグループの作成に関する説明を参照してください。 |
3 |
Webサービス認可を構成します。 |
Oracle Web Services Manager (OWSM)ポリシー 詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のWebサービス認可の構成に関する説明を参照してください。 |
4 |
Webサービスにセキュリティを設定します。 |
Webサービス/SOAPクライアントは、OAAM Webサービスとの正常な通信のために、ユーザー名とパスワードを送信する必要があります。 セキュリティのために、パスワードはキーストアに格納される必要があります。 注意: この手順は、OAAMサーバーでSOAP認証が無効の場合は不要です。 詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のSOAPユーザー・パスワードを保護するためのクライアント側キーストアの設定に関する説明を参照してください。 |
5 |
その他のSOAPプロパティを構成します。 |
詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のoaam_custom.propertiesのSOAP関連のプロパティの設定に関する説明を参照してください。 |