Oracle® Fusion Middleware Oracle Adaptive Access Manager開発者ガイド 11gリリース2 (11.1.2.2) B71697-05 |
|
![]() 前 |
![]() 次 |
Oracle Adaptive Access Manager (OAAM)をOracle Access Manager (OAM)と統合することで認証プロセスに対するファイングレイン制御が可能になり、リスク分析が提供されます。
この章では、Oracle Adaptive Access Manager 11gをOracle Access Manager 10gと統合するプロセスについて説明します。
次のセクションがあります。
この項では、Oracle Access ManagerとOAAM統合内の保護されたリソースにユーザーがアクセスを試みるときのプロセス・フローについて説明します。
ユーザーがAccess Managerによって保護されたリソースにアクセスしようとすると、Oracle Access ManagerのログインではなくOracle Adaptive Access Managerのログイン・ページにリダイレクトされます。
Oracle Adaptive Access Managerにより、ユーザー認証がOracle Access Managerに委任されます。
その後、Oracle Adaptive Access Managerにより、ユーザーのリスク分析が実行されます。
表19-1は、Oracle Adaptive Access ManagerとAccess Managerとの統合のための大まかなタスクのリストです。
別途明記されている場合を除き、Oracle Access Adaptive Manager 11gとOracle Access Manager 10gの統合を完了するために次の手順が必要です。
表19-1 Oracle Access ManagerとOracle Adaptive Access Managerとの統合フロー
番号 | タスク | 情報 |
---|---|---|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「前提条件」を参照してください。 |
2 |
OAAM Webサーバー用のOAMアクセス・ゲートを構成します。 |
詳細は、「OAAM Webサーバー用のOAMアクセス・ゲートの構成」を参照してください。 |
3 |
OAM認証スキームを構成します。 |
詳細は、「OAM認証スキームの構成」を参照してください。 |
4 |
Oracle Access Managerの接続を構成します(オプション)。 |
詳細は、「Oracle Access Managerの接続の構成(オプション)」を参照してください。 |
5 |
OAAM Webサーバー用のWebゲートを設定します。 |
詳細は、「OAAM Webサーバー用のWebゲートの設定」を参照してください。 |
6 |
OAAM認証を使用するOAMドメインを構成します。 |
詳細は、「OAAM認証を使用するOAMドメインの構成」を参照してください。 |
7 |
OHSを構成します。 |
詳細は、「Oracle HTTP Server (OHS)の構成」を参照してください。 |
8 |
Oracle Adaptive Access Managerのプロパティを構成します。 |
詳細は、「Oracle Access Manager用のOracle Adaptive Access Managerプロパティの構成」を参照してください。 |
9 |
IP検証を無効化します。 |
詳細は、「IP検証の無効化」を参照してください。 |
10 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Oracle Adaptive Access ManagerとOracle Access Managerの統合のテスト」を参照してください。 |
統合を実行する前に、次の前提条件が満たされていることを確認してください。
次のすべての必要なコンポーネントが適切にインストールされ、構成されています。
Oracle Adaptive Access Manager 11g
Oracle Access Manager 10.1.4.3
アプリケーション・サーバー
Oracle Adaptive Access Manager 11gのインストール情報については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
Oracle Access Manager 10gのインストール情報については、『Oracle Access Managerインストレーション・ガイド 10g (10.1.4.3)』を参照してください。
次の2つの異なる認証スキームを使用して単純なHTMLリソースを保護するようにOracle Access Manager環境が構成されています。
最初の認証スキームではBasic Over LDAPを使用します。
この組込みのWebサーバー・チャレンジ・メカニズムは、ユーザーにログインIDおよびパスワードの入力を要求します。提示された資格証明は、LDAPディレクトリ・サーバー内のユーザーのプロファイルと比較されます。
2つ目の認証スキームは、さらに高いセキュリティ・レベルを提供し、カスタム・フォームベースの認証スキームを使用することによってOAAMサーバーを統合します。
この方法は、Basicチャレンジ・メソッドに似ていますが、ユーザーは情報をカスタムHTMLフォームに入力します。作成するフォームで、ユーザーに入力を要求する情報を選択できます。チャレンジ・パラメータが使用されます。チャレンジ・パラメータの詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第5章「ユーザー認証の構成」のチャレンジ・パラメータに関する項を参照してください。
認証スキームの詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第5章「ユーザー認証の構成」を参照してください。
Oracle Access ManagerとOracle Adaptive Access Managerの統合では、Oracle Access Managerアクセス・ゲートはOAAMサーバーへのWebサーバー(従来のWebゲート)に面します。アクセス・ゲートの詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第3章「Webゲートおよびアクセス・サーバーの構成」を参照してください。
OAAMサーバーへのWebサーバーに面するOracle Access Managerアクセス・ゲートを構成するには、次の手順を実行します。
アクセス・システム・コンソールに移動します。
アクセス・システムへのログインの詳細は、『Oracle Access Manager IDおよび共通管理ガイド 10g (10.1.4.3)』の第1章「管理の準備」を参照してください。
「アクセス・システム・コンソール」リンクをクリックし、マスター管理者としてログインします。
「アクセス・システム構成」をクリックして、新規アクセス・ゲートの追加を選択します。
次の表の設定を使用して新しいアクセス・ゲートを作成し、それにアクセス・サーバーを割り当てます。
アクセス・ゲートのアクセス・サーバーへの割当ての詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』のアクセス・サーバーへのアクセス・ゲートとWebゲートの関連付けに関する項を参照してください。
表19-2 Oracle HTTP Server (OHS) Webゲートの構成
パラメータ | 値 | 説明 |
---|---|---|
アクセス・ゲート名 |
ohsWebGate |
このアクセス・ゲート・インスタンスの名前。 |
説明 |
OAAMサーバーをホストするWebサーバー用のアクセス・ゲート |
このアクセス・ゲートを後で識別するのに役立つ概要。 |
ホスト名 |
|
このアクセス・ゲートをホスティングしているサーバーの名前またはIPアドレス。 |
ポート番号 |
|
Webゲートとしてデプロイされたときのアクセス・ゲートによって保護されるWebサーバーのポート。 |
アクセス・ゲートのパスワード |
|
このアクセス・ゲートのパスワード。アクセス・ゲートは、このパスワードを使用してアクセス・サーバーに対して自身であることを証明します。 |
デバッグ |
<Off> |
Offではアクセス・ゲートとアクセス・サーバー間のデバッグ・メッセージが書き込まれません。 |
最大ユーザー・セッション時間(秒) |
3600 |
アクティビティに関係なくユーザーの認証セッションが有効な秒単位の最大時間。このセッション時間の終了時に、ユーザーは再認証を要求されます。 |
アイドル・セッション時間(秒) |
3600 |
アクセス・ゲートで保護されたリソースにアクセスしないでユーザーの認証セッションを保持する秒単位の時間。 |
最大接続数 |
1 |
このアクセス・ゲートが関連付けられたアクセス・サーバーと確立できる最大接続数。 |
トランスポート・セキュリティ |
<Open> |
このアクセス・ゲートと、接続先として設定されたアクセス・サーバーとの間のメッセージの暗号化方式。 |
IPの検証 |
<Off> |
クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。 |
IPの検証例外 |
空欄 |
IPアドレスの検証から除外されるIPアドレス。 |
最大クライアント・セッション時間(時間) |
24 |
アクセス・ゲートがアクセス・サーバーとの接続を維持する時間。 |
フェイルオーバーしきい値 |
1 |
このアクセス・ゲートがセカンダリ・アクセス・サーバーへの新規接続を開始する接続数を示す数値。 |
アクセス・サーバー・タイムアウトしきい値 |
空欄 |
アクセス・ゲートがアクセス・サーバーからのレスポンスに対して待機する最長時間(秒単位)。 |
スリープ時間(秒) |
60 |
このアクセス・ゲートがアクセス・サーバーへの接続をチェックする周期を示す秒数。 |
キャッシュ内の最大要素 |
10000 |
URLおよび認証スキーム・キャッシュ内で維持できる要素の最大数。 |
キャッシュ・タイムアウト(秒) |
1800 |
キャッシュ内の情報が使用も参照もされないときにアクセス・ゲート・キャッシュ内にとどまる時間。 |
偽装ユーザー名 |
空欄 |
偽装に使用するために作成した、信頼できるユーザーの名前。 |
偽装パスワード |
空欄 |
偽装ユーザー名のパスワード。 |
アクセス管理サービス |
<On> |
アクセス管理サービスがオンまたはオフのどちらであるか。アクセス・サーバーが(SDKのAPIを使用して通信する)アクセス・ゲートに関連付けられており、アクセス・ゲートと通信する場合は、「オン」にします。 |
プライマリHTTP Cookieドメイン |
|
アクセス・ゲートがデプロイされている先のWebサーバー・ドメインを説明します。 |
優先HTTPホスト |
|
保護されたWebサーバーにアクセスしようとしたときに、すべてのHTTPリクエストでホスト名がどう表示されるかを指定します。 |
保護されていない場合に拒否 |
<Off> |
Trueを指定すると、ポリシーで許可されないかぎり、Webゲートで保護されたWebサーバー上のリソースへのアクセスがすべて拒否されます。 |
CachePragmaHeader |
no-cache |
デフォルトでは、「CachePragmaHeader」および「CacheControlHeader」は「キャッシュなし」に設定されています。これにより、WebGateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 |
CacheControlHeader |
no-cache |
デフォルトでは、「CachePragmaHeader」および「CacheControlHeader」は「キャッシュなし」に設定されています。これにより、WebGateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 |
LogOutURLs |
空欄 |
ユーザーがログアウトする特定のURLを1つ以上構成できます。 |
ユーザー定義パラメータ |
空欄 |
Webゲートが特定のブラウザ、プロキシなどと動作するように構成します。 |
アクセス・サーバーの割当て(プライマリ) |
|
アクセス・サーバー。 |
接続数 |
1 |
アクセス・サーバーへの接続数。 |
「アクセス・ゲート構成」をクリックします。
「OK」をクリックして、すべてのアクセス・ゲートを検索します。
これで、新しいアクセス・ゲートが表示されるようになります。
OAAMサーバーを認証メカニズムとして利用するには、Oracle Access Managerに、OAAMサーバーへの認証の転送方法を理解するための定義済の認証スキームが備わっている必要があります。認証スキームの詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第5章「ユーザー認証の構成」を参照してください。
Oracle Adaptive Access Managerの認証スキームを定義するには、次の手順に従います。
アクセス・システム・コンソールで、「アクセス・システム構成」タブをクリックします。
左側のナビゲーション・ペインにある「認証管理」をクリックします。
「新規」をクリックします。
次の表の設定を使用して、新しいOAAMサーバー認証スキームの作成を開始します。
表19-3 OAAMサーバー認証スキームの構成
パラメータ | 値 | 説明 |
---|---|---|
名前 |
Adaptive Strong Authentication |
スキームの一意の名前。 |
説明 |
Oracle Adaptive Access Manager-OAAMサーバー仮想認証パッドの認証スキーム |
スキームの動作の簡単な説明。 |
レベル |
3 |
認証スキームのセキュリティ・レベル。スキームのセキュリティ・レベルは、ユーザーからの資格証明の送信の保護に使用されるチャレンジ・メソッドとセキュリティの強度を示します。 |
チャレンジ・メソッド |
フォーム |
認証の実行方法と、ユーザーの認証に必要な情報を指定します。 |
チャレンジ・パラメータ |
form:/oaam_server/oamLoginPage.jsp |
Webゲートに認証を実行するための追加情報を提供します form - HTMLフォームの場所を、ホストのドキュメント・ディレクトリからの相対パスで示します。 |
creds:userid password |
Webゲートに認証を実行するための追加情報を提供します creds - ログインに使用されるHTMLフォーム内のすべてのフィールドをリストします。 |
|
action:/oaam_server/ |
Webゲートに認証を実行するための追加情報を提供します action - HTMLフォームがポスティングされる先のURL。 |
|
SSL必須 |
<No> |
ユーザーを、Secure Sockets Layer(SSL)対応のサーバーを使用して認証する必要があるかどうか |
チャレンジ・リダイレクト |
|
認証がリソースWebサーバーで行われない場合に、このリクエストをリダイレクトする先の別のサーバーのURL。 |
有効 |
<無効/グレー表示> |
認証スキームを有効化または無効化します。 |
「保存」をクリックします。「認証スキームの詳細」ページが表示されます。このページには、新規認証スキーム用に入力した情報が表示されます。
「OK」をクリックして保存操作を確認します。
「プラグイン」タブを選択してこの認証スキームのプラグインを表示します。
「変更」をクリックします。「認証スキームのプラグイン」ページが変更され、「追加」ボタン、「削除」ボタンおよび「キャッシュの更新」チェック・ボックスが表示されます。
「追加」をクリックします。ページが変更され、追加するプラグインを選択および定義するためのオプション・リストとテキスト・ボックスが表示されます。
次の表に示されている情報を使用して、プラグイン構成を作成します。
表19-4 OAAMサーバー認証スキームの構成プラグイン
プラグイン名 | プラグイン・パラメータ |
---|---|
credential_mapping |
obMappingBase="dc=<domain>,dc=com",obMappingFilter="(uid=%userid%)" |
validate_password |
obCredentialPassword="password" |
credential_mappingプラグインは、ユーザーIDをディレクトリ内の有効な識別名(DN)にマッピングします。
validate_passwordプラグインは、ユーザーのパスワードをLDAPデータ・ソースに対して検証するために使用されます。
「保存」をクリックします。
「一般」をクリックします。
「変更」をクリックします。
「有効」を「はい」に設定します。
「保存」をクリックします。
OAAMサーバーによって使用されるアクセス・ゲートには、ホスト識別子のエントリがある必要があります。ホスト識別子機能を使用して、ホストの正式名と、ホストのアドレスを指定する際にユーザーが使用できるその他の名前をすべて入力します。
リストにある任意のアドレスに送信されたリクエストはホストの正式名にマップされ、適用可能なルールおよびポリシーが実装されます。これは、仮想サイトのホスティング環境で主に使用されます。
ホスト識別子の構成の詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第3章「Webゲートおよびアクセス・サーバーの構成」のホスト識別子の構成に関する項を参照してください。
認証用のCookieおよびOAAMサーバーの必要なHTTPヘッダーを正しく処理するには、OAAMサーバーを標準WebゲートおよびWebサーバーで保護する必要があります。
OAAMサーバーで使用するWebゲートを設定する手順:
アプリケーション・サーバー(およびWebサーバー)を停止します。
Webゲートのインストール・プログラムを実行します。
Webゲートの構成では、次の設定を使用します。
表19-5 OAAMサーバーとともに使用するWebゲートの設定
属性 | 値 | 説明 |
---|---|---|
WebゲートID |
ohsWebGate |
アクセス・システム・コンソールで指定されている一意のID。 |
Webゲート・パスワード |
|
アクセス・システム・コンソールでユーザーが定義したパスワード。 |
アクセス・サーバーID |
|
このWebゲートに関連付けられているアクセス・サーバーID。 |
DNSホスト名 |
|
このWebゲートに関連付けられているアクセス・サーバーが対象。 |
ポート番号 |
|
このWebゲートに対してアクセス・サーバーがリスニングする対象。 |
詳細は、『Oracle Access Managerインストレーション・ガイド 10g (10.1.4.3)』のWebゲート構成の詳細の指定に関する項と、『Oracle Access Manager統合ガイド 10g (10.1.4.3)』の第2章「Oracle HTTP Serverの統合」に関する項を参照してください。
これでOAAMサーバー認証は、Oracle Access Managerポリシー・ドメインに対して動作可能になっています。
OAAM認証スキーム(厳密認証)を使用するようにOracle Access Managerポリシー・ドメインを変更するには、次の手順に従います。
アクセス・システム・コンソールで、ページの最上部にある「ポリシー・マネージャ」のリンクをクリックします。
左側のナビゲーション・ペインにある「ポリシー・ドメイン」をクリックします。ポリシー・ドメインのリストが表示されます。
表示するポリシー・ドメインのリンクをクリックします。選択したポリシー・ドメインの「一般」ページが表示されます。
「デフォルト・ルール」をクリックします。「認証ルール」タブの「一般」ページが表示されます。ルールの現在の構成が表示されます。
「変更」をクリックします。表示される「一般」ページの各フィールドが変更可能になります。
「認証スキーム」ドロップダウン・セレクタから、「Adaptive Strong Authentication」を選択します。
「OK」をクリックして認証スキームの変更を確認します。
「キャッシュの更新」が選択されていることを確認します。
「保存」をクリックして変更を保存します。
Internet Explorerを閉じます。
ポリシー・ドメインの認証ルールの変更の詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第5章「ユーザー認証の構成」のポリシー・ドメインの認証ルールの変更に関する項を参照してください。
mod_wl_ohsは、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理するためのプラグインです。mod_wl_ohsモジュールはOracle HTTP Serverのインストールに含まれています。別途ダウンロードしてインストールする必要はありません。OAAMサーバーのプロキシになるようにOHSを構成します。11g OHSでは、mod_wl_ohs.conf
ファイルを変更することによってこの作業を行います。
プロキシを設定する手順:
mod_wl_ohs.conf
ファイルを探します。
mod_wl_ohs.conf
ファイルは次のディレクトリにあります。
ORACLE_INSTANCE/config/OHS/component_name
mod_wl_ohs.conf
ファイルを開いて次の例のようなエントリを追加します。
<Location /oaam_server> SetHandler weblogic-handler WebLogicHost name.mycompany.com WebLogicPort 24300 </Location>
この統合を機能させるには、Oracle Access Manager用のOracle Adaptive Access Managerのプロパティ、およびCredential Store Framework (CSF)内のOracle Access Managerの資格証明を設定する必要があります。
注意: この手順を実行する前に、OAAM管理コンソールを保護するかどうかを考慮に入れる必要があります。
|
Oracle Access Manager用のOracle Adaptive Access Managerプロパティを設定する手順は、次のとおりです。
Oracle Adaptive Access Managerサーバーをホストしている管理対象サーバーを起動します。
http://oaam_managed_server_host:oaam_admin_server_port/oaam_adminにあるOracle Adaptive Access Manager管理コンソールにナビゲートします。
プロパティ・エディタにアクセス可能なユーザーとしてログインします。
Oracle Access Managerのプロパティを設定するため、Oracle Adaptive Access Managerプロパティ・エディタを開きます。
プロパティが存在しない場合は、追加する必要があります。
次のプロパティについて、デプロイ内容に従って値を設定します。
表19-6 Oracle Access Managerのプロパティ値の構成
プロパティ名 | プロパティ値 |
---|---|
bharosa.uio.default.password.auth.provider.classname |
com.bharosa.vcrypt.services.OAMOAAMAuthProvider |
bharosa.uio.default.is_oam_integrated |
true |
oracle.oaam.httputil.usecookieapi |
true |
oaam.uio.oam.host |
アクセス・サーバー・ホスト・マシン名 例: host.example.com |
oaam.uio.oam.port |
アクセス・サーバー・ポート(例: 3004) |
oaam.uio.oam.obsso_cookie_domain |
アクセス・サーバーWebゲート・エージェントに定義されているCookieドメイン |
oaam.uio.oam.java_agent.enabled |
false |
oaam.uio.oam.webgate_id |
19.4項「OAAM Webサーバー用のOAMアクセス・ゲートの構成」で構成されるWebゲートID。 |
oaam.uio.login.page |
/oamLoginPage.jsp |
oaam.uio.oam.authenticate.withoutsession |
false |
oaam.uio.oam.secondary.host |
セカンダリ・アクセス・サーバー・ホスト・マシンの名前。 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
oaam.uio.oam.secondary.host.port |
セカンダリ・アクセス・サーバーのポート番号 このプロパティはデフォルトでは設定されないため、追加する必要があります。 このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
oaam.oam.csf.credentials.enabled |
true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
Oracle Adaptive Access Managerでのプロパティ設定の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のプロパティ・エディタの使用に関する項を参照してください。
Oracle Access Manager Webゲートの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOracle Adaptive Access Managerドメインに追加します。
http://weblogic_server_host:admin_port/emにあるOracle Fusion Middleware Enterprise Managerコンソールにナビゲートします。
WebLogic管理者としてログインします。
左側ペインのナビゲーション・ツリーで「Base_Domain」を展開します。
使用するドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
Oracle Adaptive Access Managerにより認証後にユーザーを保護されたURLに転送するには、IP検証を無効化する必要があります。IP検証の構成の詳細は、『Oracle Access Managerアクセス管理ガイド 10g (10.1.4.3)』の第3章「Webゲートおよびアクセス・サーバーの構成」のWebゲートのIPアドレス検証の構成に関する項を参照してください。
IP検証を無効化するには、次の手順に従います。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左ペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
「アクセス・ゲート」を選択します。
たとえば、ohsWebGateなどです。
ページの一番下にある「変更」をクリックします。
「IPの検証」を「オフ」に設定します。
ページの下部にある「保存」をクリックします。