54.2 アクセス・ポータル・サービスのデプロイメント・プロセスの概要

アクセス・ポータル・サービスは、ターゲット・アプリケーションとユーザーのブラウザ間のプロキシとして機能することにより、イントラネットおよびエクストラネットWebアプリケーションにフォーム入力シングル・サインオン機能を提供します。

Oracle Traffic Directorプロキシを介して、アクセス・ポータル・サービスはターゲットアプリケーションへのユーザー接続を捕捉し、アプリケーションのログオンまたはパスワード変更ページをフェッチし、フォーム入力シングル・サインオン・タスクを実行するために必要なJavaScriptコードを挿入して(資格証明の取得や挿入など)、変更されたページをユーザーのブラウザに送ります。

アクセス・ポータル・サービスでは、次のコンポーネントを利用します。

• Oracle Traffic Director: ターゲット・アプリケーションに対するユーザー接続を捕捉し、パスプロキシとDNSプロキシ機能を提供して、パスおよびDNSリライトを可能にします。また、Webゲート・プラグインをホストします。

• Webゲート・プラグイン: 捕捉されたユーザー接続でOracle Access Managerによる認証(割り当てられた認証ポリシーに基づく)が必要かどうかをモニターし、必要に応じてユーザーを認証ページにリダイレクトするプラグインです。これによって、内部および外部のWebアプリケーションで、シングル・サインオン機能(ログオン、パスワード変更および資格証明の取得)が有効になります。

• Oracle Access Manager: ユーザーに認証ポリシーで定義された認証サービスを提供します。

• LDAPディレクトリ: アクセス・ポータル・サービスのデータ・リポジトリおよびOracle Access Managerのバックエンド認証メカニズムとして機能します。サポートされるディレクトリのリストは、Oracleサポート・サイトからアクセス可能な動作保証マトリックスを参照してください。

• (オプション) Webログオン・マネージャ: Oracleシングル・サインオン・テクノロジにより有効にされる、アプリケーションの起動パットとして機能する参照クライアント・アプリケーションです。Webログオン・マネージャは、アクセス・ポータル・サービスのフォーム入力シングル・サインオン・テクノロジを使用して有効にされるWebアプリケーションをサポートします。これは、Oracle Technology NetworkのWebサイトから入手できます。詳細は、Oracleサポートにお問い合せください。

• Oracle Enterprise Single Sign-On管理コンソール: フォーム入力アプリケーション・ポリシー(テンプレート)とパスワード生成ポリシーを作成および編集し、資格証明を委任し、Oracle Access Managerコンソールからアクセスできない他のアクセス・ポータル・サービス機能を構成する手段を提供します。

• (オプション) Oracle HTTP Server : 外部資格証明コレクタのWebページをホストします。

次に、デプロイのプロセスの概要を示します。

1. Oracle Access Managerサーバー上でJava Cryptography Extensionファイルをデプロイします。これらのファイルにより、Oracle Access Manager上でUnlimited Strength Jurisdictionポリシー暗号化が有効にされます。

2. アイデンティティ・ストア構成ファイルを作成します。 このファイルには、アクセス・ポータル・サービスのデータ・リポジトリをホストするディレクトリの接続の詳細が含まれます。

3. アクセス・ポータル・サービスを準備して有効にします。 IDM構成ツールを使用して、ディレクトリ・スキーマを拡張し、必要なユーザーおよびグループを作成し、Webゲート・プロファイルを作成し、認証スキームを作成して割り当て、データ・リポジトリを作成した後に、アクセス・ポータル・サービスを有効化する必要があります。

4. Oracle Access Managerポリシーのキャッシュのリフレッシュ間隔を設定します。Enterprise Single Sign-On管理コンソールを使用してアクセス・ポータル・サービスのアプリケーション・ポリシー(テンプレート)を作成および変更する場合は、Oracle Access Managerポリシーのキャッシュのリフレッシュ間隔を構成して、Oracle Access Managerがアクセス・ポータル・サービス・リポジトリ内の更新されたポリシーを定期的にチェックするようにする必要があります。

5. (オプション) Oracle Privileged Account Manager証明書をインストールします。 アクセス・ポータル・サービスを使用する、Oracle Privileged Account Managerで保護されたアプリケーションを有効にする場合は、Oracle Privileged Account Manager証明書を、アクセス・ポータル・サービスを実行するOracle Access Managerのインスタンスにインストールする必要があります。(WebLogic上でのみサポートされます。)

6. Oracle Traffic Directorの管理サーバー・インスタンスをデプロイします。このインスタンスは、Oracle Traffic Directorのプロキシ・インスタンスを管理する(リスナー、オリジン・サーバーおよびサーバー・プールの構成など)手段を提供します。

7. Webゲート・バイナリおよびOracle Access Managerのセキュアな信頼アーティファクトをデプロイします。Webゲート・インストーラを実行して、必要なプラグイン・バイナリをOracle Traffic Directorにデプロイし、Oracle Access Managerのセキュアな信頼アーティファクトをデプロイされたWebゲート・インスタンスにコピーします。

8. (オプション) ESSOProvisioningプラグインをデプロイします。このプラグインを使用すると、シングル・サインオンのためにLDAP資格証明をアプリケーション資格証明としてプロビジョニングしたり、ディレクトリで提供される資格証明が変更された場合に格納されたアプリケーション資格証明を自動更新することが可能になります。このプラグインはオプションで、アクセス・ポータル・サービスで必須ではありません。

9. Oracle Traffic Director構成を作成します。Oracle Traffic Director構成は、Oracle Traffic Directorインスタンスの実行時の動作を定義する一連の要素です。構成には、リスナー、オリジン・サーバー、フェイルオーバー・グループ、ログなど、Oracle Traffic Directorインスタンスの様々な要素に関する情報が含まれています。

10. Oracle Traffic Directoryインスタンスを、Webゲート・プラグインで保護します。 Webゲート・プラグインでユーザー・トラフィックを処理し、認証およびシングル・サインオン・サービスを提供できるようにするには、それらをOracle Traffic Directorインスタンスの前面に配置する必要があります。これは、選択されたプラグインによるインスタンスの保護と呼ばれます。

11. (オプション) Webゲートの外部資格証明コレクタを有効にします。外部資格証明コレクタは、通常はOracle Access Managerに直接送信されるユーザー認証リクエストを捕捉し、ユーザーの資格証明を収集し、それらをOracle Access Managerに渡すことにより、セキュリティの層を追加します。これにより、ユーザーが直接Oracle Access Managerインスタンスに接続する必要がなくなります。外部資格証明コレクタのページは、Oracle HTTP Serverのインスタンス上で実行されます。

12. フォーム入力シングル・サインオンのターゲット・アプリケーションを有効にします。アクセス・ポータル・サービスが正常にデプロイされたら、フォーム入力シングル・サインオン機能でターゲット・アプリケーションを有効にできます。これには、Oracle Traffic Directorで必要なプロキシ・ルールを構成し、Oracle Access Managerでフォーム入力アプリケーション・ポリシーを作成して公開することが含まれます。