管理者は、Provisioning Gateway Administrative Consoleを使用して、Provisioning Gateway Webサービスから情報を設定、収集および管理できます。Provisioning Gateway Administrative Consoleからは、次のモジュールにアクセスできます。
Settings
Users
Reports and Logs
Provisioning Gateway Administrative Consoleへのアクセス方法:
Webブラウザを開き、次のURLを入力します。
https://
yourserverhost
/v-go pm console/logon.aspx
ここで
yourserverhost
は、Provisioning Gatewayをインストールしたサーバーの名前です。
ログオン・ページが開きます。
バージョン情報モジュールでは、インストールされたProvisioning GatewayおよびMicrosoft .NET Frameworkのバージョンについての情報が提供されます。
Product Version。インストールされているProvisioning Gatewayのバージョンを示します。
.Net Framework。インストールされているMicrosoft .Net Frameworkのバージョンを示します。
ログオン資格証明を入力してProvisioning Gateway Webサービスにアクセスし、「Log On」をクリックします。ユーザー名およびパスワードは、ディレクトリ認証資格証明と同じにする必要があります。たとえば、Active DirectoryまたはAD LDS (ADAM)の場合、ユーザー名は、domainname\usernameという形式にする必要があります。
SunまたはIBMの場合、ユーザー名は、uid=usernameという形式になります。
注意: Provisioning Gatewayサーバーでは、アクセス可能な資格証明のみが認識されます。Active DirectoryまたはAD LDS (ADAM)の場合、これらの認識される資格証明はドメイン・アカウントです。SunおよびIBMの場合は、このアカウントが記憶域に存在している必要があります。記憶域が定義されていない場合、このアカウントは、Webサービスが実行されているサーバーのローカル・アカウントに対して認証されます。 |
Provisioning Gatewayは、デフォルトのセキュリティ設定を変更せずに実行できます。一部の設定を変更すると、セキュリティを強化できます。
Provisioning Gatewayのセキュリティ設定は、Microsoft .Net FrameworkのASP.NET構成の設定を使用して編集できます。その後、これらの設定の変更は、Provisioning Gatewayの次の構成ファイルに反映されます。
<local directory>
\Provisioning Gateway\Service\web.config
<local directory>
\Provisioning Gateway\Console\web.config
デフォルトでは、すべてのユーザーのProvisioning Gateway Administrative Consoleへのアクセスが拒否されます。Oracle Enterprise Single Sign-On Administrative Consoleを使用して、ユーザーにプロビジョニング権限を割り当てることができます。ユーザーに対して次のアクションを実行できます。
ユーザーにログオンをプロビジョニング(資格証明を追加、変更、削除)します。テンプレートの「Provisioning」タブで、これらの権限を割り当てます。
SSOユーザーを削除します。Provisioning Gatewayノードの「Delete SSO User Right」で行います。
これらの設定を構成し、リポジトリに公開して、ユーザーにProvisioning Gateway Administrative Consoleへのアクセス権を付与します。
これらの設定の使用方法の詳細は、『Oracle Enterprise Single Sign-On Suite管理者ガイド』を参照してください。
デフォルトでは、Provisioning Gateway Webサービスで3DES暗号化が使用されます。セキュリティを強化するには、暗号化をAESに変更できます。この機能を有効にするには、Oracleのサービス・プロパティの設定を編集する必要があります。
「コントロール パネル」 > 「インターネット インフォメーション サービス」に移動します。
「Provisioning Gateway Service」Webサイトをクリックします。「プロパティ」を選択します。
「ASP.NET」タブをクリックします。ASP.NETのバージョンが2.0.xに設定されていることを確認します。(2.0に設定されていない場合は、設定を変更して「適用」をクリックします。)「構成の編集」をクリックします。
「ASP.NET構成の設定」ダイアログで、「EncryptionAlgorithm」を選択し、「編集」をクリックします。
「Value」フィールドで、「3DES」を「AES_256」に置き換えます。この値により、AES暗号化方式がProvisioning Gateway Serviceで使用されます。
テストの目的で、Provisioning Gateway Consoleのプロパティ内のlocalhost.UP
キーを変更してSSLを有効にできます。
「ASP.NET構成の設定」ダイアログで、「localhost.UP」
を選択し、「編集」をクリックします。
「コントロール パネル」 > 「インターネット インフォメーション サービス」に移動します。「Provisioning Gateway Console」Webサイトをクリックします。「プロパティ」を選択します。
「ASP.NET」タブをクリックします。ASP.NETのバージョンが2.0.xに設定されていることを確認します。(2.0に設定されていない場合は、設定を変更して「適用」をクリックします。)「構成の編集」をクリックします。
「値」フィールドで、https://localhost/Provisioning Gateway Service/UP.asmx
と入力して、http://localhost/Provisioning Gateway Service/UP.asmx
と置き換えます。
IIS内のProvisioning Gatewayサービスのプロパティを編集してSSLを無効にできます。
Provisioning Gatewayをインストールする際、Provisioning Gatewayが正常に機能するように、ドメイン・レベルで特定のサービス・アカウントを作成する必要があります。この項では、Active Directory内の特定のオブジェクトへの特定の権限セットを持つアカウントを作成することで、セキュリティを強化する方法を説明します。
セキュリティを強化するには、このサービス・アカウントをドメイン・ユーザー・グループのメンバーとして作成することをお薦めします。(このドキュメントでは、サービス・アカウントはPMSERVICEという名前ですが、任意の命名規則に従うことができます。)
この項の手順では、次の方法を説明します。
ドメイン・ユーザー・グループのメンバーとしてサービス・アカウント(PMSERVICE)を作成する方法。
Active Directory内の特定のオブジェクトへの特定の権限セットをサービス・アカウントへ付与する方法。
プロビジョニングのテンプレートを作成する方法。
ユーザーをプロビジョニングする方法。
注意: また、PMSERVICEアカウントも、Provisioning Gatewayサーバー側のコンポーネントがインストールされているIISサーバーのローカル管理者グループのメンバーである必要があります。Logon Managerのインストールに関する特定のタスク、スキーマの拡張、ソフトウェアのインストールおよびActive Directory内の特定の権限の変更を完了するには、ドメイン管理およびスキーマ管理権限を持つアカウントが必要です。 |
Microsoft社は、ドメイン・コントローラにInternet Information Server (IIS)をインストールすることを推奨しています。Oracleでは、ドメイン・コントローラではなく、メンバー・サーバーにProvisioning Gatewayのサーバー側コンポーネントをインストールすることをお薦めします。
このドキュメントに示す手順および推奨事項は、目的の結果が得られるように制御された環境でテストされています。作業環境にできるだけ近い非本番環境でこれらの手順をテストすることをお薦めします。
ここに示す手順には、ドメイン全体に影響する可能性がある変更が含まれています。大規模な企業には、特別なポリシー、信頼、継承問題、イントラサイトやインターサイトのレプリケーション問題が存在するため、実際の環境外で完全にテストすることはできません。
多数のユーザーに影響を与える可能性のある問題と同様に、インストール、構成およびメンテナンスの担当者がこの製品をテストおよびデプロイする賢明かつ慎重な方法をお薦めします。