| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの保護 11g リリース2 (11.1.2.3) E67362-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの保護 11g リリース2 (11.1.2.3) E67362-03 |
|
前 |
次 |
Password Resetは、SSLで暗号化されたHTTP経由で互いに通信し、SSLで暗号化されたチャネルを使用してデータ・リポジトリにアクセスするクライアント側およびサーバー側コンポーネントで構成されます。
クライアント側では、Password Resetは資格証明プロバイダ、およびLocalSystemアカウント下で実行されているシステム・サービスを使用してWindowsログオン・メカニズムに接続します。このメカニズムにより、Password Resetは、次に示すサーバー側Password Reset Webアプリケーションに接続(SSL付きHTTP)する、ロックダウンされたInternet Explorerウィンドウを起動するハイパーリンクを追加することにより、通常のWindowsログオン・ダイアログにパスワード・リセット機能を追加できます。サーバー側コンポーネントがSSL接続用に構成されている場合、デフォルトでクライアント側の構成はセキュアであり、それ以上強化する必要はありません。
|
注意: SSL使用のためにサーバー側コンポーネントを構成した後、エンド・ユーザー・マシンのWebアプリケーションのURLが、HTTPSプロトコルを使用するよう更新されていることを確認します。 |
サーバー側では、Password Resetはパスワード・リセット、チャレンジ質問、管理機能、およびそれぞれに対するユーザー・インタフェースを一括して提供するWindowsシステム・サービスに加えて、IISがホストするWebアプリケーションを動作させます。また、Universal Authentication Managerにチャレンジ質問機能を提供します。
Webアプリケーションは、EnrollmentClient、ResetClient、ManagementClientおよびWebServicesです。ResetClientおよびWebServices Webアプリケーションでは、権限が制限されたドメイン・ユーザー・アカウント(SSPRWeb)を作成し、そのアカウントをアプリケーション内のページにアクセスしてリポジトリ内のデータを変更できる、唯一のアカウントに指定する必要があります。
WebServicesアプリケーションのAdministration.aspxページに加え、EnrollmentClientおよびManagementClientアプリケーションは、Password Resetが有効なエンド・ユーザー・ワークステーションにログオン中のドメイン・ユーザー・アカウントがアクセスできるよう構成されています。 構成手順は『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。
SSLを使用するために、IIS内でPassword Reset Webアプリケーションを構成することを強くお薦めします。Password Reset用のSSLサポートを有効にするには、Password Reset Webアプリケーションが使用しているIIS Webサイト用のX.509 SSL証明書を作成し、インストールする必要があります。(証明書は、商業団体またはローカル・ターゲット・マシン上のソフトウェアである認証局(CA)が発行します。)次に、使用しているエンド・ユーザー・ワークステーションとPassword Reset Webアプリケーションへのセキュアな(HTTPS) URLを更新する必要があります。手順は『Enterprise Single Sign-On Suite管理者ガイド』に記載されています。
|
注意: 最大のセキュリティを維持するため、SSL機能を無効にしないことを強くお薦めします。 |
また、Password ResetはWindowsシステム・サービスであるSSPRChangePasswordSvc.exeを利用します。このサービスはバックグラウンドで動作し、各ユーザーがPassword Resetのチャレンジ質問を通過した後、ユーザーのパスワードの変更を実際に担当します。このサービスには、ユーザー・アカウントのパスワードを変更し、Active DirectoryのlockoutTimeおよびpwdLastSetの値を書き込むために必要な権限を持つ、権限を制限されたドメイン・アカウント(SSPRReset)が必要です。構成手順、およびこのアカウントに割り当てる必要がある適切な権限は、『Enterprise Single Sign-On Suiteインストレーション・ガイド』に記載されています。
Password Resetは、ユーザー・データをサポートされているリポジトリに保存します。サポートされているリポジトリは、Active Directory、AD LDS (ADAM)、Oracle Internet Directory、Oracle Virtual DirectoryなどのLDAPディレクトリ、およびOracleおよびMicrosoft SQLデータベースです。インストール後、初回構成中に、Password Resetは組織単位(ディレクトリ・ベースのリポジトリ)またはデータベースと表(データベース・ベースのリポジトリ)を作成し、新規に作成されたコンテナまたはデータベース、およびそのすべてのコンテンツに対して、SSPRWebドメイン・アカウントのフル・アクセスを許可します。
管理者はPassword Resetのコンテナまたはデータベースのアクセス制御を設定して、アクセスを必要最低限に明示的に制限することをお薦めします。Password Resetが必要なのはSSPRWebアカウントのみです。たとえば、管理者はACLを設定して、Password Reset OUをSSPRWebアカウント、SystemおよびDomain Adminsのみに制限できます。
