| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
OAuthサービスには、認可プロトコルを使用する前に構成する必要のある多くのコンポーネントがあります。
OAuthサービス・コンポーネントおよびコンポーネントの連携動作の詳細は、「OAuthサービス・コンポーネントの理解」を参照してください。この項では、Oracle Access Managementコンソールのみを使用したOAuthサービス・コンポーネントの構成について説明します。次の項目が含まれます。
アイデンティティ・ドメインの概要は、「アイデンティティ・ドメインのOAuthサービス・コンポーネントの構成」を参照してください。次の項では、ユーザー・インタフェースを使用してアイデンティティ・ドメインを構成する方法について説明します。次のトピックが含まれています:
OAuthアイデンティティ・ドメインを表示、編集および削除できます。
OAuthアイデンティティ・ドメインを編集するには、次のようにします。
既存のアイデンティティ・ドメインを表示したり、新しいアイデンティティ・ドメインを作成する際に、「アイデンティティ・ドメインの構成」の「サマリー」タブには、「アイデンティティ・ドメイン」、「アイデンティティ・ドメインのUUID」、「複数のリソース・サーバーを許可する」などのフォーム・フィールドが表示されます。
この項では、既存のアイデンティティ・ドメインを表示したり、新しいアイデンティティ・ドメインを作成するときの「アイデンティティ・ドメインの構成」の「サマリー」タブのフォーム・フィールドについて説明します。
アイデンティティ・ドメイン: アイデンティティ・ドメインの名前。アイデンティティ・ドメインを作成または編集する場合は、スペースなしに一意の名前を入力します。
説明: (オプション)自分または別の管理者が将来このアイデンティティ・ドメインを識別する際に役立つ簡単な説明。
IdentityドメインのUUID: インターネット上でこのアイデンティティ・ドメインを一意に識別する識別コード。汎用一意識別子コードをこのフィールドに移入するには、「生成」をクリックします。
複数のリソース・サーバーを許可する: アイデンティティ・ドメインが複数のリソース・サーバーをサポートする場合は、このオプションを選択します。
ノート:
複数のリソースを選択するには、スコープの先頭にリソース・サーバー名が付いている必要があります。たとえば、PhotoServiceをリソース・サーバーとして追加する場合は、スコープの先頭にPhotoServiceを付ける必要があります。これは、スコープをリソース・サーバーに追加する際に自動的に実行されます。接頭辞は、一意以外の別のものに変更できます。
「アイデンティティ・ドメインの作成」ページには、次に示すフィールドが表示されます。
サービス・プロファイル
サービス・プロファイル名 - アイデンティティ・ドメインのサービス・プロファイルの名前。各アイデンティティ・ドメインには少なくとも1つのサービス・プロファイルが必要です。詳細は、「サービス・プロファイル - Identity FederationおよびOAuthサービス」を参照してください。
サービス・プロファイル・エンドポイント - このアイデンティティ・ドメインのOAuth認可サービスが認可リクエストに応答するURL。
ユーザー・プロファイル・サービス
ユーザー・プロファイル・サービス名 - アイデンティティ・ドメインのユーザー・プロファイル・サービスの名前。ユーザー・プロファイル・サービスは、アイデンティティ・ドメインごとに自動的に作成されます。詳細は、「リソース・サーバー - Identity FederationおよびOAuthサービス」を参照してください。
ユーザー・プロファイル・サービス・エンドポイント - ユーザー・プロファイル・サービスがリクエストの作成、読取り、更新および削除を行うために受信し、応答するURL。
承認管理サービス
承認管理サービス名 - アイデンティティ・ドメインの承認管理サービスの名前。各アイデンティティ・ドメインには承認管理サービスが必要です。このサービスは、承認レコードを格納および取得し、承認検証および承認失効操作を実行します。詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
承認管理サービス・エンドポイント - 承認管理サービスがクライアントおよびリソース所有者サービス・リクエストを受信し、応答するURL。
ウィザード・フローを作成する前に、OAuthアイデンティティ・ドメインの作成ウィザード・フロー・ページのフォーム・フィールドを理解しておきます。
OAuthアイデンティティ・ドメインの作成ウィザード・フロー・ページで使用可能なフォーム・フィールドの詳細は、次の各項を参照してください。
情報 - 詳細は、「「アイデンティティ・ドメインの構成」ページ - 「サマリー」タブ」を参照してください。
サービス・プロファイル - 詳細は、「「サービス・プロファイル構成」ページ」を参照してください。
モバイル・サービス - 詳細は「「サービス・プロファイル構成」ページ」の「モバイル・サービスの設定」を参照してください。
トークン - 詳細は「「サービス・プロファイル構成」ページ」の「トークン(トークン設定)」を参照してください。
サマリー: 設定を確認し、「終了」をクリックして、アイデンティティ・ドメインを作成します。
ユーザー・インタフェースを使用してサービス・プロファイルを構成できます。
サービス・プロファイルの概要は、「サービス・プロファイル - Identity FederationおよびOAuthサービス」を参照してください。次の項では、ユーザー・インタフェースを使用してサービス・プロファイルを構成する方法について説明します。次のトピックが含まれています:
「サービス・プロファイル」タブを使用してサービス・プロファイルを作成できます。
アイデンティティ・ドメイン: このサービス・プロファイルが適用されるアイデンティティ・ドメインの名前。(読取り専用)
名前: このサービス・プロファイルの名前。
説明: (オプション)自分または別の管理者が将来このサービス・プロファイルを識別する際に役立つ簡単な説明。
サービス有効: 選択すると、サービス・プロファイルがアクティブになり、オプション・ボックスをクリアすると、非アクティブになります。
サービス・プロバイダ: このOAuthサービス・プロファイルに対応するOAuthサービス・プロバイダの名前。
サービス・エンドポイント: OAuth認可サービスが認可リクエストに応答するURL。
ユーザー・ストア
ユーザー・オーセンティケータ: ユーザー認証の場合、Oracle Access Managementのトークン・プロバイダを使用するには「OAM」を選択し、アイデンティティ・ディレクトリ・サービスのトークン・プロバイダを使用するには「IDS」を選択します。OAMトークンが使用されない場合はIDS認証のみを選択します(たとえば、JWTトークンのみが使用される場合)。OAMとJWTトークンの両方が使用される場合、IDSとOAMの両方で送信される重複認証試行を避けるために、OAM認証を選択します。
アイデンティティ・ストア名: IDSがユーザー・オーセンティケータとして構成される場合のアイデンティティ・ストアの名前。
ユーザー・プロファイル・サービス
ユーザー・プロファイル・サービス名 - アイデンティティ・ドメインのユーザー・プロファイル・サービスの名前。ユーザー・プロファイル・サービスは、アイデンティティ・ドメインごとに自動的に作成されます。詳細は、「ユーザー・プロファイル・サービス」を参照してください。
ユーザー・プロファイル・サービス・エンドポイント - ユーザー・プロファイル・サービスがリクエストの作成、読取り、更新および削除を行うために受信し、応答するURL。
承認管理サービス
承認管理サービス名 - アイデンティティ・ドメインの承認管理サービスの名前。各アイデンティティ・ドメインには承認管理サービスが必要です。このサービスは、承認レコードを格納および取得し、承認検証および承認失効操作を実行します。詳細は、「承認管理サービス」を参照してください。
承認管理サービス・エンドポイント - 承認管理サービスがクライアントおよびリソース所有者サービス・リクエストを受信し、応答するURL。
プラグイン
次のカテゴリのメニューから使用可能なプラグインを選択します。詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
アダプティブ・アクセス - Oracle Adaptive Access Manager (OAAM)の不正検出とリスク分析ポリシー・チェックを実行し、認証性とユーザーの信頼レベルを向上させます。
モバイル・セキュリティ・マネージャ - モバイル・セキュリティ・マネージャ(MSM)コンポーネント(Oracle Mobile Security Suiteの一部)からモバイル・デバイス・データを収集して、MSMコンプライアンス・ステータスと同様にアダプティブ・アクセス・プラグインに送信し、より強力な認証チェックおよびリスク評価を行います。
カスタム・トークン属性プラグイン - トークン・サービス・プロバイダの周囲のセキュリティ・ポリシーを定義します。詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
クライアント: 機密クライアント認証、クライアント認可およびクライアント・プロファイルの読取りを外部セキュリティ・モジュールに委任します。
リソース・サーバー・プロファイル: 機密リソース・サーバー認証、リソース・サーバー認可およびリソース・サーバー・プロファイルの読取りを外部セキュリティ・モジュールに委任します。
認可および承認サービス - 認可およびユーザー承認が付与される相互作用を中心にセキュリティ・ポリシーを定義します。このプラグインは、生成されたトークンの要求にも影響を及ぼす可能性があります。
属性
サービス・プロファイル属性とその値を追加または削除して、さらにOAuthサービス・プロファイルを構成します。
JWTトークンの生成および検証の場合、次のパラメータを構成します。
jwt.cert.alias
jwt.trusted.issuer.size
jwt.trusted.issuer.1
jwt.trusted.issuer.2
ノート:
詳細は、「サード・パーティJWTべアラー・アサーションのためのOAuthサービスの構成」を参照してください。
表53-1 OAuthサービス・プロファイル構成の属性
| 名前 | 値 | ノート |
|---|---|---|
|
キーストアの署名証明書のための秘密キーの別名。この属性が指定されていない場合、デフォルトの別名が使用されます。 |
|
|
|
JWTトークンのコンテンツへの署名に使用する暗号アルゴリズム。デフォルト値は |
|
|
このトークンの発行者(つまり、OAuthサービスによって生成されたJWTトークンの |
|
2 |
信頼できる発行者の数。この値は信頼できる発行者の任意の数に設定できます。たとえば、数が2の場合、次のパラメータもこれに合せて指定する必要があります。 |
|
キー・ストアの1つ目の信頼できる発行者の公開キーの別名。詳細は、 |
|
|
キー・ストアの2つ目の信頼できる発行者の公開キーの別名。詳細は、 |
|
|
|
trueに設定されている場合、現在のOAuthサービス・プロファイルはドメイン作成の一環として自動的に作成されます。そうでない場合は、手動で作成します。 |
|
|
trueに設定されている場合、トークン検証および終了リクエストに関するOAuthサービスとの相互作用に、クライアントIDおよび秘密(パスワード)を資格証明として使用できます。 falseに設定されている場合、トークン検証および終了リクエストに関するOAuthサービスとの相互作用に、JWT/SAMLクライアント・アサーションをクライアント資格証明として使用できます。 |
|
|
OAuthサービスによって発行されたトークンのテナント要求名。デフォルトで、これはアイデンティティ・ドメイン名を使用して設定されます。 |
|
指定される値 |
デフォルトで、これは |
|
指定される値(秒単位) |
デフォルト値は |
|
|
この属性は、JWT SSO認証メカニズムを使用してモバイル・クライアントに適用されます。これは、2-leggedフローでのみ使用されます。(3-leggedフローの場合、ブラウザがセッションを管理します。) true - ユーザーはアプリケーション登録のたびに認証を受ける必要があります。(モバイル・アプリケーションは、サーバー側JWTユーザー・トークンを使用して登録されません。)OAuthサービスは、ユーザーが資格証明を送信するためのログイン・ページを表示します。 false - モバイル・アプリケーションは、サーバー側JWTユーザー・トークンを使用して登録されます。 デフォルトは |
モバイル・サービスの設定
サポートされているプラットフォーム: 「iOS」、「Android」および/または「その他」を選択します。
iOS: 選択した場合、認可サーバーは、iOSクライアントからのリクエストを受け入れます。
Android: 選択した場合、認可サーバーは、Androidクライアントからのリクエストを受け入れます。
その他: 選択した場合、認可サーバーは、iOSまたはAndroid以外のクライアントからのリクエストを受け入れます。
iOSセキュリティ・レベル - 「詳細設定」または「標準」を選択します。
詳細: クライアント登録およびトークン取得はすべて、プッシュ通知とHTTP(S)の両方を使用して行われます。
標準: クライアント登録およびトークン取得はすべて、HTTP(S)を使用して行われます。
Androidセキュリティ・レベル - 「詳細設定」または「標準」を選択します。
詳細: クライアント登録およびトークン取得はすべて、プッシュ通知とHTTP(S)の両方を使用して行われます。
標準: クライアント登録およびトークン取得はすべて、HTTP(S)を使用して行われます。
Android送信者ID: Androidプッシュ通知に必要なGCM送信者IDを入力します。
Android APIキー: Androidプッシュ通知に必要なAPIキーを入力します。
承認サービス保護: 認可リクエストは承認サービスにルーティングされます。ユーザーはこの承認サービスにログインして、承認する必要があります。「OAMまたはサード・パーティ・アクセス管理」、「JWT認証」または「ソーシャル認証」を選択します。
OAMまたはサード・パーティ・アクセス管理 - 承認ページ保護にOracle Access Managementまたはサード・パーティ・オプションのいずれかを使用します。
JWT認証 - 承認ページ保護にOAuthサーバー自体を使用します。承認ページ保護にOAuthサーバーを使用する場合、認証フローは「ユーザー・ストア」設定で決定されます。
ソーシャル認証 - 承認ページ保護にソーシャル・アイデンティティ・サービスを使用します。
クライアント登録にはユーザー承認が必要 - モバイル・デバイスで各モバイルOAuthアプリケーション・インストール・インスタンスを登録する前にユーザーが認可する必要がある場合は、このオプションを選択します。
サーバー側のシングル・サインオンの有効化 - 同じデバイス上の複数のアプリケーション間でのシングル・サインオンをサーバーが提供するか、これをクライアントが行うかを指定します。シングル・サインオンを実現するには、JWTユーザー・トークンまたはOAMユーザー・トークンをサーバー側デバイス・ストアに格納するか、ユーザー・トークンを管理対象のクライアントに返します。サーバー側SSOは、2-leggedモバイルOAuthフローにのみ適用されます。このオプションを選択した場合、最初のアプリケーションの登録後に、サーバーはユーザー・トークンをモバイル・デバイスに返さずに格納します。このオプションを選択しない場合、トークンはモバイル・デバイスに送信され、サーバー・デバイス・ストアに格納されません。詳細は、「モバイルOAuthサービスのサーバー側シングル・サインオンの理解」を参照してください。
優先ハードウェアID: モバイル・デバイスを一意に識別するために使用する必要があるハードウェアID属性の優先させるには、このリストを使用します。リストから使用可能な最初のハードウェアIDが使用されます。
モバイル・クライアント属性 - サーバーが追加の属性を必要とする場合、必要に応じてモバイル・クライアント属性およびその値を追加または削除します。
構成設定
クライアント
すべてのクライアントにアクセスを許可する: アイデンティティ・ドメインのすべてのクライアントがこのサービス・プロファイルを使用する必要がある場合に選択します。サービス・プロファイルにアクセス可能なクライアントを選択する場合は、このオプションをクリアします。
クライアント表 - サービス・プロファイルにアクセスできるようにするクライアントを表に追加します。「クライアントの参照」をクリックして、表に追加するクライアントを選択します。異なるサービス・プロファイルにクライアントを割り当てるには、クライアント名の左側にあるボックスをクリックして、「削除」をクリックします。
トークン(トークン設定)
このタブを使用して、トークン設定の他、OAuthサービスがアクセス・トークンに埋め込む必要があるカスタム属性の設定を構成します。
トークン
トークン名: トークンの名前。
期限切れ: トークンの有効期限が切れるまでの時間(分単位)。
リフレッシュ・トークン有効: このオプションを選択すると、リフレッシュ・トークンが使用可能になります。リフレッシュ・トークンは、クライアント検証コードまたは認可コードでは使用できません。詳細は、「OAuthサービス・トークンについて」を参照してください。
リフレッシュ・トークンの有効期限: リフレッシュ・トークンの有効期限が切れるまでの時間(分単位)。
ライフサイクル有効: OAuthサービスがトークンをキャッシュし、それを有効期限が切れるまでデータベースに保存する必要がある場合は、このオプションを選択します。
カスタム属性
このセクションを使用して、OAuthサービスがアクセス・トークンに埋め込むカスタム属性を定義します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
静的属性: 属性の定義時に値が固定される属性名と値のペア。例: name1=value1
動的属性: ユーザープロファイル固有の属性。
リソース・サーバー(カスタム・リソース・サーバー)
このタブを使用して、クライアントがアクセス権を持つ必要があるカスタム・リソース・サーバーを選択します。カスタム・リソース・サーバーは、OAuthサービスに含まれるユーザー・プロファイルおよび承認管理リソース・サーバーではない任意のリソース・サーバーです。
クライアントにすべてのリソース・サーバーへのアクセスを許可する: クライアントがアイデンティティ・ドメインで構成されているすべてのリソース・サーバーにアクセスできるようにする場合に選択します。アクセス可能なリソース・サーバー・クライアントを選択する場合は、このオプションをクリアします。
使用可能なサーバー/選択されたサーバー - 矢印を使用して、クライアントがアクセスできるようにするリソース・サーバーを「使用可能なサーバー」ボックスから「選択されたサーバー」ボックスに移動します。(このオプションは、「クライアントにすべてのリソース・サーバーへのアクセスを許可する」オプションが選択されていない場合にのみ使用できます。)
システム・リソース・サーバー
このタブを使用して、クライアントがユーザー・プロファイル・サービスや承認管理サービスへのアクセス権を持つ必要があるかどうかを構成します。
ユーザー・プロファイル・サービス: 矢印を使用して、クライアントがアクセスできる必要があるユーザー・プロファイル・サーバーを「使用可能なサーバー」ボックスから「選択されたサーバー」ボックスに移動します。「選択されたサーバー」ボックスにリストされたサービスは、アクティブなサービスです。
承認管理サービス: 矢印を使用して、クライアントがアクセスできる必要がある承認管理サーバーを「使用可能なサーバー」ボックスから「選択されたサーバー」ボックスに移動します。「選択されたサーバー」ボックスにリストされたサービスは、アクティブなサービスです。
信頼できる発行者
このタブを使用して、トークンの検証に使用できる証明書発行者を追加します。レコードを表に追加する場合は「追加」をクリックし、レコードを表から削除する場合は、その行を選択して「削除」をクリックします。
証明書エイリアス - 別名。
信頼できる発行者 - 信頼できる証明書発行者の名前。
証明書サムプリント - x5t - 証明書のデジタル証明に使用されるキーに対応するX.509証明書のDERエンコーディングのbase64urlエンコーディングされたダイジェスト。
キー識別子 - KID - 証明書の保護に使用されるキーを示すキーID値。
OAuthサービス・クライアントの概要は、「クライアント - Identity FederationおよびOAuthサービス」を参照してください。次の項では、ユーザー・インタフェースを使用してWebクライアントおよびモバイル・クライアントを構成する方法について説明します。次のトピックが含まれています:
既存のWebクライアントを表示したり、新しいWebクライアントを作成する際に、「OAuth Webクライアント構成」ページには、「アイデンティティ・ドメイン」、「クライアントID」、「クライアント・シークレット」などのフォーム・フィールドが表示されます。
Webクライアント構成ページのフォーム・フィールドは次のとおりです。
アイデンティティ・ドメイン: このOAuth Webクライアントが登録されているアイデンティティ・ドメインの名前。(読取り専用)
名前: このOAuthクライアントの名前。
説明: (オプション)自分または別の管理者が将来このOAuth Webクライアントを識別する際に役立つ簡単な説明。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がリソース・サーバーおよびリソース所有者で共有されるようにするには、このオプションを選択します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
クライアントID: 認可サーバーが登録時にこのクライアントに作成した一意のID。(読取り専用)。
クライアント・シークレット: OAuth認可サービスおよびクライアントに認識されているシークレット値。認可サービスは、クライアントからトークン・エンドポイント・リクエストを受信するときに、クライアント・シークレットとクライアントIDを確認します。
HTTPリダイレクトURI: アクセスが付与または拒否されたときにOAuthサーバーがユーザー・エージェントをリダイレクトすることを許可されるクライアントURI。
権限
ユーザー承認をバイパス: 選択した場合、クライアントは、ユーザーの保護されたリソースにアクセスするために、そのユーザーの明示的な許可を求めません。このオプションを選択した場合、この設定はリソース・サーバー設定をオーバーライドします。クライアントがリソース・サーバー設定に従う場合は、このオプションをクリアします。
すべてのスコープにアクセスを許可する: 選択した場合、アイデンティティ・ドメインのリソース・サーバーのスコープ制限にかかわらず、クライアントはアクセス・トークンを取得できます。クライアントがスコープ制限に従う場合は、このオプションをクリアします。
許可されているスコープ: クライアントがリクエストされたリソースに対して所有するアクセス権の範囲をリストします。追加のアクセス権を付与するには、「追加」をクリックして、表に行を追加し、ドロップダウン・メニューから追加するスコープを選択します。アクセスを制限するには、表の行をクリックして削除するスコープを選択し、「削除」をクリックして、強調表示された行を削除します。選択したスコープを削除することを確認するプロンプトで、「OK」をクリックします。
権限タイプ: OAuth 2.0仕様は、様々なセキュリティ・ユースケースにいくつかの認可権限タイプを提供します。アクセス・トークンを取得する前に、クライアントはアクセス・トークンのためにOAuthサービスと交換可能な認可権限を取得する必要があります。クライアント権限により、どのクライアントがどの権限タイプを許可されるかが決定されます。OAuthサービスでは、次の権限タイプがサポートされています。
認可コード: この権限タイプは、3-leggedフローで必要です。リソース所有者は認可サーバーを使用してログインします。トークン・エンドポイントはクライアント資格証明とともに認可コードをアクセス・トークンと交換します。
リソース所有者の資格証明 - この権限タイプは、2-leggedフローで使用されます。リソース所有者はクライアントにユーザー名とパスワードを提供します。クライアントがパスワードを乱用したり、パスワードが誤って攻撃者に開示される可能性があるため、これは信頼性の高いクライアント・アプリケーションにのみ適しています。OAuth 2.0仕様ごとに、認可サーバーおよびクライアントは、この権限タイプの使用を最小限に抑え、可能な場合は常に他の権限タイプを利用する必要があります。
クライアント資格証明 - この権限タイプは、2-leggedフローで使用されます。クライアントは、そのクライアント資格証明のみ(または他のサポートされている認証手段)を使用してアクセス・トークンをリクエストします。これは、クライアントがその制御下、または認可サーバーで前に調整されたときの別のリソース所有者の制御下にある保護されているリソースへのアクセスをリクエストしている場合に適しています。
OAuth 2.0標準で定義される権限タイプに加え、次のオプションも使用可能です。
リフレッシュ・トークン: このオプションを選択すると、トークン・レスポンスでアクセス・トークンとともにリフレッシュ・トークンを返します。詳細は、「OAuthサービス・トークンについて」を参照してください。
JWTベアラー: OAuthアクセス・トークンのリクエストにJWTアサーションを使用できます。
SAML 2ベアラー: OAuthアクセス・トークンのリクエストにSAML2アサーションを使用できます。
OAM資格証明: マスター・トークン、アクセス・トークン、OAuthアクセス・トークンなど、OAMトークンのリクエストに使用します。
属性
認可サーバーがスコープ設定とともにクライアントに返すカスタム属性を追加または削除します。
サービス・プロファイル構成およびスコープ構成にカスタム属性を追加する際には同じ名前を使用しないでください。両方の場所に同じ属性名を定義する場合は、スコープベースの属性値が優先されます。
表53-2 Webクライアント属性名と値
| 名前 | 値 | ノート |
|---|---|---|
|
スペースで区切られた値。 |
OAuthサーバーがクライアント・アサーションとユーザー・アサーションを生成するときに使用します。これらのJWTトークンの |
既存のWebクライアントを表示したり、新しいWebクライアントを作成する際に、Webクライアント構成ページには、「アイデンティティ・ドメイン」、「クライアントID」、「HTTPリダイレクトURI」などのフォーム・フィールドが表示されます。
Webクライアント構成ページのフォーム・フィールドは次のとおりです。
アイデンティティ・ドメイン: このOAuth Webクライアントが登録されているアイデンティティ・ドメインの名前。(読取り専用)
名前: このOAuthクライアントの名前。
説明: (オプション)自分または別の管理者が将来このOAuth Webクライアントを識別する際に役立つ簡単な説明。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がリソース・サーバーおよびリソース所有者で共有されるようにするには、このオプションを選択します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
クライアントID: 認可サーバーが登録時にこのクライアントに作成した一意のID。(読取り専用)。
HTTPリダイレクトURI: アクセスが付与または拒否されたときにOAuthサーバーがユーザー・エージェントをリダイレクトすることを許可されるクライアントURI。
権限
ユーザー承認をバイパス: 選択した場合、クライアントは、ユーザーの保護されたリソースにアクセスするために、そのユーザーの明示的な許可を求めません。このオプションを選択した場合、この設定はリソース・サーバー設定をオーバーライドします。クライアントがリソース・サーバー設定に従う場合は、このオプションをクリアします。
すべてのスコープにアクセスを許可する: 選択した場合、アイデンティティ・ドメインのリソース・サーバーのスコープ制限にかかわらず、クライアントはアクセス・トークンを取得できます。クライアントがスコープ制限に従う場合は、このオプションをクリアします。
許可されているスコープ: クライアントがリクエストされたリソースに対して所有するアクセス権の範囲をリストします。追加のアクセス権を付与するには、「追加」をクリックして、表に行を追加し、ドロップダウン・メニューから追加するスコープを選択します。アクセスを制限するには、表の行をクリックして削除するスコープを選択し、「削除」をクリックして、強調表示された行を削除します。選択したスコープを削除することを確認するプロンプトで、「OK」をクリックします。
権限タイプ: OAuth 2.0仕様は、様々なセキュリティ・ユースケースにいくつかの認可権限タイプを提供します。アクセス・トークンを取得する前に、クライアントはアクセス・トークンのためにOAuthサービスと交換可能な認可権限を取得する必要があります。クライアント権限により、どのクライアントがどの権限タイプを許可されるかが決定されます。OAuthサービスでは、次の権限タイプがサポートされています。
認可コード: この権限タイプは、3-leggedフローで必要です。リソース所有者は認可サーバーを使用してログインします。トークン・エンドポイントはクライアント資格証明とともに認可コードをアクセス・トークンと交換します。
暗黙的 - この権限タイプは、2-leggedフローで使用されます。リソース所有者はクライアントにユーザー名とパスワードを提供します。クライアントがパスワードを乱用したり、パスワードが誤って攻撃者に開示される可能性があるため、これは信頼性の高いクライアント・アプリケーションにのみ適しています。OAuth 2.0仕様ごとに、認可サーバーおよびクライアントは、この権限タイプの使用を最小限に抑え、可能な場合は常に他の権限タイプを利用する必要があります。
属性
認可サーバーがスコープ設定とともにクライアントに返すカスタム属性を追加または削除します。
サービス・プロファイル構成およびスコープ構成にカスタム属性を追加する際には同じ名前を使用しないでください。両方の場所に同じ属性名を定義する場合は、スコープベースの属性値が優先されます。
既存のモバイル・クライアントを表示したり、新しいモバイル・クライアントを作成する際に、モバイル・クライアント構成ページには、「アイデンティティ・ドメイン」、「クライアントID」、「ジェイルブレーク検出」などのフォーム・フィールドが表示されます。
この項では、既存のモバイル・クライアントを表示するか、新しいモバイル・クライアントを作成するときのモバイル・クライアント構成ページのフォーム・フィールドについて説明します。「OAuth Webクライアント構成」ページについては、前の項で説明しています。
アイデンティティ・ドメイン: このOAuthモバイル・クライアントが登録されているアイデンティティ・ドメインの名前。(読取り専用)
名前: このOAuthクライアントの名前。
説明: (オプション)自分または別の管理者が将来このOAuthモバイル・クライアントを識別する際に役立つ簡単な説明。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がリソース・サーバーおよびリソース所有者で共有されるようにするには、このオプションを選択します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
クライアントID: 認可サーバーが登録時にこのクライアントに作成した一意のID。(読取り専用)。
ジェイルブレーク検出 - 選択すると、モバイル・デバイスのジェイルブレーク検出が有効になります。詳細は、「ジェイルブレーク検出ポリシー - OAuthサービス」を参照してください。
モバイル・リダイレクトURI: アクセスが付与または拒否されたときにOAuthサーバーがユーザー・エージェントをリダイレクトすることを許可されるクライアントURI。
権限
ユーザー承認をバイパス: 選択した場合、クライアントは、ユーザーの保護されたリソースにアクセスするために、そのユーザーの明示的な許可を求めません。このオプションを選択した場合、この設定はリソース・サーバー設定をオーバーライドします。クライアントがリソース・サーバー設定に従う場合は、このオプションをクリアします。
すべてのスコープにアクセスを許可する: 選択した場合、アイデンティティ・ドメインのリソース・サーバーのスコープ制限にかかわらず、クライアントはアクセス・トークンを取得できます。クライアントがスコープ制限に従う場合は、このオプションをクリアします。
許可されているスコープ: クライアントがリクエストされたリソースに対して所有するアクセス権の範囲をリストします。追加のアクセス権を付与するには、「追加」をクリックして、表に行を追加し、ドロップダウン・メニューから追加するスコープを選択します。アクセスを制限するには、表の行をクリックして削除するスコープを選択し、「削除」をクリックして、強調表示された行を削除します。選択したスコープを削除することを確認するプロンプトで、「OK」をクリックします。
権限タイプ: OAuth 2.0仕様は、様々なセキュリティ・ユースケースにいくつかの認可権限タイプを提供します。アクセス・トークンを取得する前に、クライアントはアクセス・トークンのためにOAuthサービスと交換可能な認可権限を取得する必要があります。クライアント権限により、どのクライアントがどの権限タイプを許可されるかが決定されます。OAuthサービスでは、次の権限タイプがサポートされています。
認可コード: この権限タイプは、3-leggedフローで必要です。リソース所有者は認可サーバーを使用してログインします。トークン・エンドポイントはクライアント資格証明とともに認可コードをアクセス・トークンと交換します。
リソース所有者の資格証明 - この権限タイプは、2-leggedフローで使用されます。リソース所有者はクライアントにユーザー名とパスワードを提供します。クライアントがパスワードを乱用したり、パスワードが誤って攻撃者に開示される可能性があるため、これは信頼性の高いクライアント・アプリケーションにのみ適しています。OAuth 2.0仕様ごとに、認可サーバーおよびクライアントは、この権限タイプの使用を最小限に抑え、可能な場合は常に他の権限タイプを利用する必要があります。
クライアント資格証明 - この権限タイプは、2-leggedフローで使用されます。クライアントは、そのクライアント資格証明のみ(または他のサポートされている認証手段)を使用してアクセス・トークンをリクエストします。これは、クライアントがその制御下、または認可サーバーで前に調整されたときの別のリソース所有者の制御下にある保護されているリソースへのアクセスをリクエストしている場合に適しています。
リフレッシュ・トークン: このオプションを選択すると、トークン・レスポンスでアクセス・トークンとともにリフレッシュ・トークンを返します。詳細は、「OAuthサービス・トークンについて」を参照してください。
JWTベアラー: OAuthアクセス・トークンのリクエストにJWTアサーションを使用できます。
SAML 2ベアラー: OAuthアクセス・トークンのリクエストにSAML2アサーションを使用できます。
OAM資格証明: マスター・トークン、アクセス・トークン、OAuthアクセス・トークンなど、OAMトークンのリクエストに使用します。
クライアント検証コード: モバイル・クライアントがOAuthサーバーから事前検証コードをリクエストするために使用します。その後、OAuthサーバーは使用されたモバイル・クライアント・フローを取得します。
Apple Push Notification
iOSデバイスのみに適用されます。OAuth認可サーバーは、HTTPSを介してクライアント登録ハンドルの一部を送信し、Apple Push Notification Service (APNS)を使用してプッシュ通知を介して他の部分を送信して、トークンの配信を特定のモバイル・デバイスにインストールされた特定のアプリケーションに制限できます。次のフィールドを使用して、OAuthサーバーがこの特定のクライアント・アプリケーション用のAPNSに接続する方法を構成します。
接続設定: APNSを使用して、モバイル・クライアント・アプリケーションにセキュリティ・コードとトークンの一部を送信する場合は、「有効」を選択します。(APNSを使用して送信されない部分は、HTTPSを使用して送信されます。)このモバイル・クライアント・アプリケーションにAPNSを使用しない場合は、このオプションをクリアします。
最小接続プール・サイズ: 接続プールの最小接続数を指定します。
最大接続プール・サイズ: 接続プールの最大接続数を指定します。
キープ・アライブ: Apple Push Notificationキープ・アライブ値(秒単位)。
APNS通信設定のための証明書 - アプリケーションの初期開発とテストにApple開発環境を使用するには「開発」を選択し、Appleの本番環境を使用するには「本番」を選択します。
開発用のSSL/TLS証明書: Apple Push Notification Serviceに対してAppleによって発行された開発用のSSL/TLS証明書に移動するには、「参照」をクリックします。
開発用証明書パスワード: Apple Push Notificationの証明書の開発用パスワードを入力します。
本番用のSSL/TLS証明書: Apple Push Notification Serviceに対してAppleによって発行された本番用のSSL/TLS証明書に移動するには、「参照」をクリックします。
本番用証明書パスワード: Apple Push Notificationの証明書の本番用パスワードを入力します。
Googleアプリケーション設定
Androidデバイスのみに適用されます。OAuth認可サーバーは、HTTPSを介してクライアント登録ハンドルの一部を送信し、Google Cloud Messaging (GCM) for Androidを使用してプッシュ通知を介して他の部分を送信して、トークンの配信を特定のモバイル・デバイスにインストールされた特定のアプリケーションに制限できます。次のフィールドを使用して、OAuthサーバーがこの特定のクライアント・アプリケーション用GCMサービスに接続する方法を構成します。
リダイレクトされたパッケージ名: Googleにより制限されるパッケージ名。
モバイル・サービスの設定
デフォルト設定をオーバーライド - 「モバイル・クライアント」プロファイルの「デフォルト設定をオーバーライド」を有効にすると、管理者は、セキュリティ・レベルを設定して、サーバー側のシングル・サインオンをクライアント・レベルで有効にできます。設定すると、これらのクライアント設定により、OAuthサービスのサービス・プロファイルのモバイル構成設定で同じ設定がオーバーライドされます。これは、OAuthサービスのサービス・プロファイルの定義内容と異なる動作がアイデンティティ・ドメインの特定のクライアントで必要な場合に使用できます。
構成設定
デバイス要求属性: システムがデバイスのフィンガープリント用に収集するデバイス属性を指定します。空の場合は、システムはSDKのすべての属性を収集します。
モバイル・カスタム属性: アプリケーション・プロファイルを使用してモバイル・アプリケーションに送信されるキー値ペアを指定します。(モバイル・アプリケーションは、エンドポイント、ジェイルブレーク検出ポリシー、セキュリティ・レベル詳細など、サーバー側設定を含むアプリケーション・プロファイルをリクエストします。)
属性
認可サーバーがスコープ設定とともにクライアントに返すカスタム属性を追加または削除します。
サービス・プロファイル構成およびスコープ構成にカスタム属性を追加する際には同じ名前を使用しないでください。両方の場所に同じ属性名を定義する場合は、スコープベースの属性値が優先されます。
サービス・プロバイダの概要は、「サービス・プロバイダ - Identity FederationおよびOAuthサービス」を参照してください。次の項では、ユーザー・インタフェースを使用してサービス・プロバイダを構成する方法について説明します。次のトピックが含まれています:
ノート:
一度に構成可能なサービス・プロバイダは1つのみです。
「サービス・プロバイダの構成」ページのフォーム・フィールドは次のとおりです。
アイデンティティ・ドメイン - このサービス・プロバイダが登録されているアイデンティティ・ドメインの名前。(読取り専用)
名前: このサービス・プロバイダの名前。
説明: (オプション)自分または別の管理者がこのサービス・プロバイダを識別する際に役立つ簡単な説明。
サービス・プロバイダのJavaクラス: このサービス・プロバイダを実装するJavaクラス。
属性
表53-3の属性設定を使用して、Access Managerとのサービス・プロバイダ接続を構成します。
表53-3 Access ManagerのOAuthサービス・プロバイダ属性
| 名前 | 値 | ノート |
|---|---|---|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
||
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
これらの設定を更新するには、「簡易モードおよび証明書モードのAccess Managerと連動するMobile and Socialサービスの構成」を参照してください。 |
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
|
|
Mobile and SocialでOAMサーバーとの通信にローカル・モードとリモート・モードのどちらを使用するかを指定します。この属性値をfalseに設定した場合、Mobile and SocialはTCP/IPを介してOAMと通信します。trueに設定した場合(またはこの属性を定義しない場合)、Mobile and Socialは直接接続を使用してOAMと通信します。 11.1.2.3以前では、Mobile and SocialはOAMとの通信にTCP/IPのみを使用していました(リモート・ノード)。現在、通信はデフォルトで(より高速の)ローカルに設定されています。 OAM 10gと通信するようにMobile and Socialを構成するには、 |
ユーザー・インタフェースを使用してリソース・サーバーを構成できます。
リソース・サーバーの概要は、「リソース・サーバー - Identity FederationおよびOAuthサービス」を参照してください。次の項では、ユーザー・インタフェースを使用してリソース・サーバーを構成する方法について説明します。次のトピックが含まれています:
OAuthサービスでは、リソース・サーバーとしてモデル化され、アクセス・トークンで保護された、すぐに使用可能なサービスが2つ提供されます。ユーザー・プロファイル・サービスおよび承認管理サービスのリソース・サーバーの構成の詳細は、「ユーザー・プロファイル・サービスの構成」および「承認管理サービスの構成」をそれぞれ参照してください。
ここでは、「カスタム・リソース・サーバー構成」ページのタブおよびフォーム・フィールドについて説明します。
アイデンティティ・ドメイン: このリソース・サーバーが適用されるアイデンティティ・ドメインの名前。(読取り専用)
名前: このリソース・サーバー(またはリソース・サービス)の名前。
説明: (オプション)自分または別の管理者が将来このリソース・サーバーを識別する際に役立つ簡単な説明。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がクライアントおよびリソース所有者で共有されるようにするには、このオプションを選択します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
認可および承認サービス・プラグイン: メニューから、リソース・サーバーの認可プラグインを選択します。このプラグイン・タイプは、認可およびユーザー承認が付与される相互作用周囲のセキュリティ・ポリシーを定義します。このプラグインは、生成されたトークンの要求にも影響を及ぼす可能性があります。プラグインの詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
オーディエンス要求 - OAuthトークンの対象となるオーディエンスを識別します。OAuthトークンを処理する各プリンシパルは、「オーディエンス要求」の値で自身を識別する必要があります。
リソース・サーバーID: 登録時にこのリソース・サーバーに対して作成された一意のID。(リソース・サーバー構成の保存後にこのフィールドを変更することはできません。)
スコープ
スコープ表に新しい行を追加するには、「追加」をクリックします。行を削除するには、その行をクリックして選択し、「削除」をクリックします。
名前: スコープ定義を入力します。photo.readなどのドット表記法を使用します。
説明: スコープを説明する短いメモを入力します。
ユーザー承認が必要: ユーザーがアクセス・リクエストを承認(または拒否)できるように、認可サーバーにユーザー承認フォームを表示するよう要求する場合に選択します。
オフライン・スコープ: ユーザーがオフラインか、存在しない場合にも、クライアント・アプリケーションがアクセス・トークンを取得するために使用可能なリフレッシュ・トークンをリクエストできるようにします。クライアント・アプリケーションは、リフレッシュ・トークンを使用して、リソースにアクセスするための新しいアクセス・トークンを取得します。詳細は、「OAuthサービス・トークンについて」を参照してください。
トークン設定
デフォルト設定をオーバーライド: リソース・サーバー構成ページで定義されているトークン設定が「OAuthサービス・プロファイル」ページで定義されているデフォルトのトークン設定をオーバーライドする場合にこのオプションを選択します。
トークン名: トークンの名前。
期限切れ: トークンの有効期限が切れるまでの時間(分単位)。
リフレッシュ・トークンの有効期限: リフレッシュ・トークンの有効期限が切れるまでの時間(分単位)。
カスタム属性
このセクションを使用して、OAuthサービスがアクセス・トークンに埋め込むカスタム属性を定義します。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
静的属性: 属性の定義時に値が固定される属性名と値のペア。例: name1=value1
動的属性: ユーザープロファイル固有の属性。
コンソールを使用してユーザー・プロファイル・サービスのインスタンスを構成できます。
ユーザー・プロファイル・サービスの概要は、「ユーザー・プロファイル・サービス」を参照してください。次の項では、コンソールを使用してユーザー・プロファイル・サービスのインスタンスを構成する方法について説明します。
ユーザー・プロファイル・サービス構成ページからユーザー・プロファイル・サービスを構成できます。
このページを使用して、ユーザー・プロファイル・サービスを構成します。このサービスは、OAuth 2.0認可をサポートし、クライアントがバックエンド・ディレクトリ・サーバーと相互作用して、個人、グループおよびリレーションシップ・エンティティ上でユーザー・プロファイルREST操作を実行できるようにします。
アイデンティティ・ドメイン: このサービス・プロファイルが適用されるアイデンティティ・ドメインの名前。(読取り専用)
名前: このサービス・プロファイルの名前。
説明: (オプション)自分または別の管理者が将来このサービス・プロファイルを識別する際に役立つ簡単な説明。
サービス有効: サービスを有効にする場合は選択し、サービスを無効にする場合はオプション・ボックスをクリアします。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がクライアント間で共有されるようにするには、このオプションを選択します。有効な場合、ユーザー承認フォームにより、ユーザー・プロファイル固有の詳細がクライアントで共有されることがユーザーに通知されます。カスタム属性の詳細は、「OAuthサービス・アクセス・トークン」を参照してください。
オーディエンス要求 - OAuthトークンの対象となるオーディエンスを識別します。OAuthトークンを処理する各プリンシパルは、オーディエンス要求の値で自身を識別する必要があります。
リソース・サーバーID: OAuthサービスがこのユーザー・プロファイル・リソース・サーバーに対して作成した一意のID。(読取り専用)
サービス・エンドポイント: サービスがユーザー・プロファイル・サービス・リクエストの作成、読取り、更新および削除を行うために受信し、応答するURI。このサービスの一意のUniform Resource Identifier (URI)アドレスを作成します。例: localhost:5575
認可および承認サービス・プラグイン: メニューから、サービスの認可プラグインを選択します。このプラグイン・タイプは、認可およびユーザー承認が付与される相互作用周囲のセキュリティ・ポリシーを定義します。このプラグインは、生成されたトークンの要求にも影響を及ぼす可能性があります。プラグインの詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
OAuthサービス・プロファイルによる保護: メニューから、ユーザー・プロファイル・サービスを保護するOAuthサービス・プロファイルを選択します。
アイデンティティ・ストア名: ユーザー・レコードを含むアイデンティティ・ストアの名前。
スコープ
セキュリティ保護
個人、リレーションシップおよびグループ・エンティティの個別権限設定を構成します。レコードを表に追加する場合は「追加」をクリックし、レコードを表から削除する場合は「削除」をクリックします。サービスは、次のデフォルトのエンティティ名を使用します。
URI: スコープが定義されるURIセグメント。
/me: クライアントにログインしたユーザーに適用される操作を指定します。
/users: 他のユーザーに適用される操作を指定します。
/groups: グループに適用される操作を指定します。
/secretkey - 秘密キー管理に適用する操作を指定します。
サービス有効 - 選択すると、このスコープに対してサービスが有効になります。
読取りの許可: 選択すると、このスコープの読取り操作が許可されます。
書込みの許可: 選択すると、このスコープの書込み操作が許可されます。
非保護 - アクセスを制限しない場合はこのオプションを選択し、スコープ別にアクセスを制限する場合はこのオプションをクリアします。
OAuthスコープ: スコープ定義を入力します。UserProfile.me.writeなどのドット表記法を使用します。
説明: スコープを説明する短いメモを入力します。
ユーザー承認が必要: ユーザーがアクセス・リクエストを承認(または拒否)できるように、認可サーバーにユーザー承認フォームを表示するよう要求する場合に選択します。
選択されたスコープのアイデンティティ属性 - 「セキュリティ保護」表のエンティティ行をクリックすると、そのエンティティの「属性」表が表示されます。レコードを表に追加する場合は「追加」をクリックし、レコードを表から削除する場合は「削除」をクリックします。
オフライン・スコープ: ユーザーがオフラインか、存在しない場合にも、クライアント・アプリケーションがアクセス・トークンを取得するために使用可能なリフレッシュ・トークンをリクエストできるようにします。クライアント・アプリケーションは、リフレッシュ・トークンを使用して、リソースにアクセスするための新しいアクセス・トークンを取得します。詳細は、「OAuthサービス・トークンについて」を参照してください。
トークン設定
デフォルト設定をオーバーライド: リソース・サーバー構成ページで定義されているトークン設定が「OAuthサービス・プロファイル」ページで定義されているデフォルトのトークン設定をオーバーライドする場合にこのオプションを選択します。
トークン名: トークンの名前。
期限切れ: トークンの有効期限が切れるまでの時間(分単位)。
リフレッシュ・トークンの有効期限: リフレッシュ・トークンの有効期限が切れるまでの時間(分単位)。
プロキシ認証
「プロキシ認証」を選択すると、Webアプリケーションを使用したユーザーのアイデンティティ("プロキシ"とも呼ばれる)をアプリケーション経由でデータベース・サーバーに渡すことができます。プロキシ認証は、Oracle Unified Directory (OUD)およびActive Directory (AD)でサポートされます。「アクセス制御」オプションは、プロキシ認証が組み込まれていないディレクトリ・サーバーにプロキシ認証のサポートを提供するだけです。詳細は、「プロキシ認証」を参照してください。
属性
このセクションを使用して、ユーザー・プロファイル固有の(動的)属性を定義します。
表53-4 ユーザー・プロファイル・サービス属性
| 名前 | 値 |
|---|---|
|
|
|
|
|
|
リソースURI
このセクションを使用して、/me、/users、/groupsおよび/secretkeyサービスを有効または無効にし、これらのサービスのサービス・エンドポイントURIおよびプロバイダ実装クラス・パスを定義します。
サービス・エンドポイント: サービスがサービス・リクエストを受信し、応答するURI。このサービスの一意のUniform Resource Identifier (URI)アドレスを作成します。例: localhost:5575
エンティティ
このセクションのフィールドを使用して、エンティティ関係を構成します。
名前 - 定義済のエンティティ関係の名前。
アイデンティティ・ディレクトリ・サービスの関係 - 関係エンドポイント・セグメントによってアクセスされるディレクトリ・サービスの関係を選択します。
エンドポイント - アイデンティティ・ディレクトリ・サービスの対応するデータ列にアクセスするために使用するエンティティ関係URIセグメントを入力します。たとえば、memberOfがエンドポイントURIである場合、
http://<host>:<port>/.../idX/memberOf
が、ID idXを持つエンティティの関連エンティティにアクセスするためのURIです。
ソース・エンティティURI: ソース・エンティティのURI (またはURL)です。
宛先エンティティURI: 宛先エンティティのURI(またはURL)です。
再帰型をリクエストするスコープ - 関係検索で、ネストされたレベルの属性を取得するには、スコープ属性値をスコープ問合せパラメータとともに使用します。再帰的に関連エンティティにアクセスするには、使用する値を入力します。デフォルト構成では、toTopとallの2つのスコープ属性値が使用されます。「再帰型をリクエストするスコープ」の値が属性値allである場合、次のREST URIの例が使用されてリクエストが実行されます。
http://host:port/.../idX/reports?scope=all
この例では、URIによって、ID idXを持つエンティティに関連するエンティティが、それに続いて関連しているエンティティすべてとともに返されます。
属性
このセクションを使用して、ユーザー・プロファイル・エンティティ固有の(動的)属性を定義します。
ユーザー・インタフェースを使用して承認管理サービスを構成できます。
承認管理サービスの概要は、「承認管理サービス」を参照してください。次の項では、ユーザー・インタフェースを使用して、承認管理サービスを構成する方法について説明します。
承認管理サービスは、承認の格納、取得、失効および承認検証操作を処理します。承認管理サービスを構成できます。
承認管理サービス構成ページのフォーム・フィールドは次のとおりです。
アイデンティティ・ドメイン: この承認管理サービスが適用されるアイデンティティ・ドメインの名前。(読取り専用)
名前: この承認管理サービスの名前。
説明: (オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明。
サービス有効: サービスを有効にする場合は選択し、サービスを無効にする場合はオプション・ボックスをクリアします。
トークン属性の取得を許可する: カスタム属性(属性名と値の両方)がクライアント、リソース・サーバーおよびリソース所有者で共有されるようにするには、このオプションを選択します。
オーディエンス要求 - OAuthトークンの対象となるオーディエンスを識別します。OAuthトークンを処理する各プリンシパルは、オーディエンス要求の値で自身を識別する必要があります。
リソース・サーバーID: 認可サーバーが登録時にこのリソース・サーバーに作成した一意のID。(読取り専用)
サービス・エンドポイント: 承認管理サービスがクライアントおよびリソース所有者サービス・リクエストを受信し、応答するURL。
認可および承認サービス・プラグイン: メニューから、サービスの認可プラグインを選択します。このプラグイン・タイプは、認可およびユーザー承認が付与される相互作用周囲のセキュリティ・ポリシーを定義します。このプラグインは、生成されたトークンの要求にも影響を及ぼす可能性があります。プラグインの詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
OAuthサービス・プロファイルによる保護: メニューから、承認管理サービスを保護するOAuthサービス・プロファイルを選択します。
スコープ
セキュリティ保護
個々の権限設定を構成します。レコードを表に追加する場合は「追加」をクリックし、レコードを表から削除する場合は「削除」をクリックします。サービスは、次のデフォルトのエンティティ名を使用します。
URI: スコープが定義されるURIセグメント。
/retrieve
/grant
/revoke
読取りの許可: 選択すると、このスコープの読取り操作が許可されます。
書込みの許可: 選択すると、このスコープの書込み操作が許可されます。
非保護 - アクセスを制限しない場合はこのオプションを選択し、スコープ別にアクセスを制限する場合はこのオプションをクリアします。
OAuthスコープ: スコープ定義を入力します。UserProfile.me.writeなどのドット表記法を使用します。
説明: スコープを説明する短いメモを入力します。
ユーザー承認が必要: ユーザーがアクセス・リクエストを承認(または拒否)できるように、認可サーバーにユーザー承認フォームを表示するよう要求する場合に選択します。
オフライン・スコープ: ユーザーがオフラインか、存在しない場合にも、クライアント・アプリケーションがアクセス・トークンを取得するために使用可能なリフレッシュ・トークンをリクエストできるようにします。クライアント・アプリケーションは、リフレッシュ・トークンを使用して、リソースにアクセスするための新しいアクセス・トークンを取得します。詳細は、「OAuthサービス・トークンについて」を参照してください。
トークン設定
デフォルト設定をオーバーライド: リソース・サーバー構成ページで定義されているトークン設定が「OAuthサービス・プロファイル」ページで定義されているデフォルトのトークン設定をオーバーライドする場合にこのオプションを選択します。
トークン名: トークンの名前。
期限切れ: トークンの有効期限が切れるまでの時間(分単位)。
リフレッシュ・トークンの有効期限: リフレッシュ・トークンの有効期限が切れるまでの時間(分単位)。
属性
このセクションを使用して、カスタム属性を定義します。
リソースURI
このセクションを使用して、取得、付与および失効サービスを有効または無効にします。これらのサービスのサービス・エンドポイントURIおよびプロバイダ実装クラス・パスを定義することもできます。
サービス・エンドポイント: サービスがリクエストを受信し、応答するURI。このサービスの一意のURIアドレスを作成します。
サービス有効: サービスを有効にする場合は選択し、サービスを無効にする場合はオプション・ボックスをクリアします。
属性
このセクションを使用して、承認管理エンティティに固有の(動的)属性を定義します。
セキュリティ・プラグインを構成できます。
プラグインの詳細は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
プラグイン構成ページから、アイデンティティ・ドメインにプラグインを追加したり、既存のプラグイン構成情報を編集できます。
構成するプラグインに適用されるのは、次に示すフィールドの一部のみです。
アイデンティティ・ドメイン: プラグインが存在するアイデンティティ・ドメインの名前。
名前: プラグインの名前。
説明: (オプション)自分または別の管理者が将来このプラグインを識別する際に役立つ簡単な説明。
実装クラス: プラグイン・インタフェースを実装するクラスをメニューから選択します。「モバイル・クライアント・プラグイン構成」ページ、「モバイル・リソース・サーバー・プラグイン構成」ページおよび「モバイル認可および承認サービス・プラグイン構成」ページに適用されます。詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照してください。
インタフェース・クラス - このプラグインのインタフェース・クラスをリストします。「モバイル・クライアント・プラグイン構成」ページ、「モバイル・リソース・サーバー・プラグイン構成」ページおよび「モバイル認可および承認サービス・プラグイン構成」ページに適用されます。
セキュリティ・ハンドラ・クラス: セキュリティ・ハンドラ・プラグインを定義するJavaクラスを選択します。「モバイル・アダプティブ・アクセス・プラグイン構成」ページおよび「モバイル・カスタム・トークン属性プラグイン構成」ページに適用されます。
モバイル・セキュリティマネージャ・プラグイン・クラス - モバイル・セキュリティ・マネージャ・プラグインを定義するJavaクラスを選択します。「モバイル・セキュリティマネージャ・プラグイン構成」ページにのみ適用されます。
MSMデバイス・インベントリ属性の優先 - 有効にした場合、モバイル・セキュリティ・マネージャ(MSM)コンポーネントとモバイルOAuthサーバーの両方から同じデバイス属性の値が提供されると、モバイル・セキュリティ・マネージャから提供された値が使用されます。MSMコンポーネントからの属性値が使用できない場合、モバイルOAuthサーバーからの値がかわりに使用されます。
MSM属性 - モバイル・セキュリティ・マネージャ・プラグインがモバイル・デバイスから獲得した属性をリストします。1列目には、モバイル・セキュリティ・マネージャ・コンポーネントが収集したモバイル・デバイス属性がリストされます。2列目には、モバイルOAuthサーバーがモバイル・アプリケーション・リクエスト中に収集したモバイル・デバイス属性がリストされます。MSMコンポーネントとサーバーの両方から同じデバイス属性が使用可能な場合、同じ行に両方ともリストされます。(たとえば、列1にMSM属性"imei"が表示され、同じ行の列2に一致するサーバー属性"oracle:idm:claims:client:imei"が表示されます。)モバイルOAuthサーバーがアプリケーション・リクエスト中に収集したデバイス属性のリストを表示するには、「OAuthモバイル・クライアント構成」ページを開いて、「構成設定」セクションで「デバイス要求属性」リストを見つけます。別の属性を追加するには、「追加」をクリックして表の一番下に行を追加し、属性名を入力します。(1列目にモバイル・セキュリティ・マネージャから提供された属性を入力し、2列目にモバイルOAuthサーバーからの属性を入力します。属性が等価であり互いにマップする必要がある場合を除いて、属性は1行に1つずつ入力してください。)
属性: このセクションを使用して、カスタム・プラグイン属性を定義します。
「サーバー設定」構成ページを使用して、指定のアイデンティティ・ドメインの一般的なサーバー設定を構成できます。
サーバー設定構成ページを使用して、指定のアイデンティティ・ドメインの一般的なサーバー設定を構成します。
ノート:
Webゲートを使用するMobile and Socialのデプロイの詳細は、「Mobile and Socialのデプロイメント制約」を参照してください。
アイデンティティ・ドメイン: この構成ページの設定が適用されるアイデンティティ・ドメインの名前。(読取り専用)
HTTPプロキシ設定
プロキシ・サーバーがOAuth Token Service (プッシュ・サービス)とApple Push Notification Service (APNS)またはGoogle Cloud Messaging (GCM)サービス間に存在する場合は、次の設定を構成します。
プロキシURL - プロキシ・サーバーへの接続に使用するプロトコル(HTTPまたはHTTPS)を選択し、プロキシ・サーバーのホスト名およぴポート番号を入力します。
プロキシ認証 - プロキシ・サーバーで認証を受けるために必要なユーザー名およびパスワードを入力します。
Apple Push Notification
このアイデンティティ・ドメインに使用されるデフォルト値を構成します。「OAuthモバイル・クライアント構成」ページを使用して、アプリケーションごとにこれらの設定をカスタマイズします。
最小接続プール・サイズ: 接続プールの最小接続数を指定します。
最大接続プール・サイズ: 接続プールの最大接続数を指定します。
キープ・アライブ: Apple Push Notificationキープ・アライブ値(秒単位)。
トークン・ライフサイクル管理
検索結果の最大数: 「トークン・ライフサイクル管理」ページで返されるトークン・エントリ検索結果の最大数を指定します。
属性
属性: このセクションを使用して、カスタム属性を定義します。
表53-5 OAuthサーバー設定属性
| 名前 | 値 | ノート |
|---|---|---|
|
|
この属性の使用はオプションです。OAM WebゲートがOAuthサーバーのフロントエンドとして機能している場合や、OAuthサーバーにリクエストをプロキシしている場合は、この属性を設定します。OAM Webゲートは、認証されたユーザーを識別する |
ユーザー・インタフェースを使用してジェイルブレーク検出ポリシーを構成できます。
ジェイルブレーク検出ポリシーの概要は、「ジェイルブレーク検出ポリシー - OAuthサービス」を参照してください。次の項では、ユーザー・インタフェースを使用して、ポリシーを構成する方法について説明します。
ジェイルブレーク検出 - ジェイルブレーク検出ポリシーをオンにする場合は「有効」を選択し、すべてのクライアント・アプリケーション・インスタンスに対してこの機能をオフにする場合はこのオプションをクリアします。ここでジェイルブレーク検出ポリシーを有効化しても、このポリシーはアプリケーションごとに無効化できます。ここでこのポリシーを無効化すると、この機能をアプリケーションごとに有効化したり無効化したりできなくなります。
ポリシー文
メニューのボタンを使用して、ポリシー文の追加、削除および並替えを行います。
順序 - 表の各行に割り当てられた連続する行番号。
有効: ポリシー文条件をアクティブ化するには、このオプションを選択します。
最小OSバージョン: ポリシーが適用されるiOSの最低バージョン。この値が1.0である場合、ポリシーは、少なくともバージョン1.0のiOSを実行しているiOSデバイスに適用されます。
最大OSバージョン: ポリシーが適用されるiOSの最高バージョン。値が空の場合、最高iOSバージョン番号が確認されず、ポリシーは、「最低OSバージョン」で指定した値よりも上位のすべてのiOSバージョンに適用されます。設定した後で値を削除してこのフィールドを空白のままにすることはできません。
最小クライアントSDKバージョン: Mobile and SocialクライアントSDKの最低バージョン番号。たとえば、11.1.2.0.0などです。
最大クライアントSDKバージョン: Mobile and SocialクライアントSDKの最高バージョン番号。たとえば、11.1.2.3.0などです。
詳細 - 「ジェイルブレーク検出ポリシー」ポリシー文に関する追加の詳細。情報アイコンにマウスを置くと、詳細がポップアップ表示されます。
ポリシー文条件
クリックして表の行を選択して、このセクション内のその値を表示または編集します。フィールドの説明は、前の項(「ポリシー文」)を参照してください。
ポリシー文検出ロジック
ポリシー有効期間: モバイル・クライアント・デバイス上のSDKが、ポリシーのローカル・コピーの期限が切れて新しいバージョンを取得するまで待機する時間の長さを秒単位で入力します。
自動チェック期間 - クライアント・デバイスがジェイルブレーク検出ポリシー文を再び実行するまで待機する時間間隔を分単位で入力します。
検出ロケーション - iOSクライアント・デバイスが、論理OR演算子を使用してポリシー文を評価します。次のように、検出ロケーションを追加します。
ファイル・パス - 検出ポリシーによって検索されるデバイス上のファイルまたはディレクトリの絶対パスを入力します。
アクション - 「存在」を選択します。それにより、それがファイル・パスにアクセスできるかどうかを評価するように検出ポリシーに指示します。
成功 - 指定したファイルまたはディレクトリがデバイス上に見つかったときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合に選択します。ポリシーが、認可されていないファイルまたはディレクトリについて確認している場合は、このオプションを使用します。指定したファイルまたはディレクトリが見つからないときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合は、このオプションをクリアします。(必須のファイルまたはディレクトリについて確認している場合は、このオプションを使用します。)
「トークン・ライフサイクル管理」ページを使用して、発行されたトークンの検索および取消しができます。
ユーザーID、クライアントID/名前、クライアントIPアドレス、サービス・プロファイル、アサーション・トークン・カテゴリおよびトークン作成/有効期限などの基準を使用して、トークンを検索できます。基準を入力し、「検索」をクリックします。返されるトークン・エントリ検索結果の最大数は、「OAuthサーバー設定」ページの「検索結果の最大数」で指定されます。
検索基準
アイデンティティ・ドメイン: トークンを検索するアイデンティティ・ドメインの名前。(読取り専用)
ユーザー: 検索するLDAP UID (john.smith)またはLDAP完全修飾DN (cn=jane.smith,dc=example,dc=com)を指定します。
クライアント: トークンを検索するクライアントIDを指定します。
クライアントIPアドレス: トークンを検索するクライアントIPアドレス(たとえば、192.168.100.1)を指定します。
サービス・プロファイル: メニューからプロファイルを選択するか、この選択を空のままにします。
アサーション・トークン・カテゴリ: メニューからカテゴリを選択するか、選択を空のままにします。
発行されたトークン: 発行された日時別にトークンを検索します。
トークンの有効期限: 有効期限が切れる日時別にトークンを検索します。
モバイル・デバイス要求属性
IMEI: 検索する一意の15桁のIMEI (国際移動体装置識別番号)コードを指定します。IMEIは、*#06#をダイヤルして、ほとんどのモバイル・ハンドセットで表示できます。
MACアドレス: 検索する一意のMAC (Media Access Control)アドレスを指定します。
電話番号: 検索する電話番号を指定します。
