Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
各アプリケーション・ドメイン内では、アクセスを制御する特定のポリシーによって、特定のリソースが保護対象として識別されます。認証ポリシーおよび認可ポリシーには、成功と評価された場合に適用されるレスポンスが含まれます。このレスポンスは、管理者が構成します。認可ポリシーには、評価の実行方法を定義する条件とルールおよび成功と評価された場合に適用されるレスポンスが含まれます。これらの条件とルールおよびレスポンスは、管理者が構成します。
アプリケーション・ドメインのサイズと数は、管理者が決定します。それを決定するために、必要に応じて、個々のアプリケーション・リソースまたは他の論理グループを使用できます。アプリケーション・ドメインは、エージェント登録時に自動的に作成されます。また、管理者はアプリケーション・ドメインを手動で作成し、リソースおよびポリシーを追加すると、同じエージェントを使用して複数のアプリケーション・ドメインを保護できます。
図21-3に、アプリケーション・ドメイン内のポリシーの詳細およびアプリケーション・ドメインでの共有要素の使用方法を示します。
詳細は、以下のトピックを参照してください。
リソースという用語は、OAMサーバーに格納されていて、多くのユーザーがアクセスできるドキュメント、エンティティまたは一部のコンテンツを表します。
クライアントは、特定のプロトコル(HTTPやHTTPSなど)を使用してOAMサーバーと通信し、既存のリソース・タイプに該当するリソースをリクエストします。各HTTPリソース・タイプをホスト識別子に関連付ける必要があります。ただし、HTTP以外のリソース・タイプは、(ホスト識別子ではなく)特定の名前に関連付けられます。
Access Managerでは、各リソースを特定のポリシーと関連付けるために、アプリケーション・ドメインのリソース・コンテナ内でリソースとして定義する必要があります。
ノート:
アプリケーション・ドメイン内のポリシーに関連付けできるリソースは、リソース・コンテナで定義されているリソースのみです。
詳細は、「ポリシー・リソース定義の追加および管理」を参照してください。
ノート:
ページの内容の一部を保護するには、Oracle Entitlements Serverの使用をお薦めします。
管理者は、認証ポリシーを作成して、アプリケーション・ドメイン内の特定のリソースに適用できます。
各認証ポリシーで指定する内容は次のとおりです。
このポリシーが適用される特定のリソースを指定します。このリソースは、このポリシーの「リソース」タブで、アプリケーション・ドメインのリソース・コンテナに定義する必要があります。
ユーザーの認証に使用するチャレンジ・メソッドを提供する認証スキームを指定します。
このポリシーの評価結果に基づいてユーザーをリダイレクトする成功URL (および失敗URL)を指定します。
エージェントが実行する認証後アクションを指定するオプション・レスポンスを定義します。
ポリシー・レスポンスには、情報をセッションに挿入して後で抽出する機能があります。これにより、特定の順序でURLにリダイレクトすることでアプリケーションへの(アプリケーション間の)データの経路を提供していたOracle Access Manager 10gよりも堅牢性と柔軟性が強化されます。
ポリシー・レスポンスはオプションです。これらは、管理者が構成する必要があり、アプリケーション・ドメイン内で定義されている特定のリソースに適用する必要があります。詳細は、「SSOのポリシー・レスポンスの概要」を参照してください。
認証ポリシーの評価結果
Access Managerはユーザーを認証するために、このポリシーの認証スキームによって定義されているチャレンジ・メソッドに基づいて、認証資格証明のリクエストをユーザーのブラウザに示します。
ポリシーの評価後に、結果が返され、ユーザーはその結果に基づいてリダイレクトされます。
成功(アクセスを許可)の場合、リクエストしたURLにリダイレクトされます。
失敗(アクセスを拒否)の場合、汎用エラー・ページにリダイレクトされます。
ノート:
ポリシーの評価結果は、ポリシーごとにオーバーライドされます。
認可は、ユーザーにリクエストしたリソースのアクセス権があるかどうかを決定するプロセスです。
たとえば、ユーザーは、データを表示したり、ポリシーで保護されているアプリケーション・プログラムを実行したりできます。
管理者は、認可ポリシーを作成して、サブジェクトまたはアイデンティティが特定のリソースにアクセスできる条件を指定できます。リクエストしたリソースは、アプリケーション・ドメインに属している必要があり、特定の認可ポリシー内に含まれている必要があります。
各認可ポリシーで指定する内容は次のとおりです。
このポリシーが適用される特定のリソースを指定します。このリソースは、このポリシーの「リソース」タブで、アプリケーション・ドメインのリソース・コンテナに定義する必要があります。
このポリシーの評価結果に基づいてユーザーをリダイレクトする成功URL (および失敗URL)を指定します。
このポリシーおよびリソースに定義されている条件に基づいて、特定の許可ルールまたは拒否ルールを指定します。条件タイプの概要は、表21-5を参照してください。
認可後にエージェントが実行するアクションを特定する、オプションのレスポンスを定義します(「SSOのポリシー・レスポンスの概要」を参照してください)。
関連項目: