プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

60.3 ヘッダー変数による偽装の有効化

ヘッダー変数を使用して偽装を有効にするには、次の項の手順を完了します。

  1. ヘッダー変数による偽装のすべての要件の確認

  2. 信頼できるユーザーとしての偽装の作成

  3. 信頼できるユーザーへの権限の割当て

  4. 信頼できるユーザーのWebゲートへのバインド

  5. アプリケーション・ドメインへの偽装レスポンスの追加

  6. 偽装DLLのIISへの追加

  7. 偽装のテスト

関連項目:

「Outlook Webアプリケーション(OWA)に対する偽装の設定」

60.3.1 ヘッダー変数による偽装要件

OAMサーバーでWindows偽装を実装する前に、環境を準備して動作を確認します。

表60-1に、ヘッダー変数による偽装を有効化する場合のAccess Managerプラットフォーム要件を示します。

表60-1 ヘッダー変数による偽装要件

項目 プラットフォーム

11g WebGate (および偽装dll)

Microsoft IIS 7.xおよびWindows Server 2008と2013

偽装dll

Webgate_install_dir\webgate\iis\lib\IISImpersonationModule.dll

  • IISモジュールとしてインストールする必要があります。

  • Webサイト・ツリーの任意のレベルにインストールできます。

Kerberos Key Distribution Center (KDC)およびActive Directory

Windows Server 2008と2013

クライアントおよびサーバー・マシン

  • 両者は、信頼関係のある同じWindows Server 2008ドメイン内にある必要があります。

  • 双方向の信頼パスが必要です。サービスがクライアントの代理として動作し、クライアントのドメインにあるチケットを要求するためです。

セキュリティ・コンテキスト

オペレーティング・システムとして動作する権限が備わっている必要があります。

ノート: IWAM_Machineは推奨されません。

相互認証が必要

相互認証はリモートでサポートされます。

60.3.2 信頼できるユーザーとしての偽装の作成

HeaderVarとユーザー・プロファイル属性のどちらを使用して偽装を有効にするかにかかわらず、戻り値はActive Directoryに含まれる信頼できるユーザーである必要があります。この特別なユーザーは、偽装以外には使用しないでください。

次の手順例では、SPPSImpersonatorを新規オブジェクト - ユーザーとして使用します。SPPSImpersonatorはSharePoint偽装を示すので、OWAImpersonatorも使用できます。環境はユーザーによって異なります。

  1. Microsoft Exchange Server 2013インストールをホストするコンピュータ上の環境に対して次のステップを実行してください。

    • Windows 2008または2012: 「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に選択します。

  2. 「Active Directoryユーザーとコンピュータ」ウィンドウで、左ペインのツリーで「ユーザー」を右クリックし、「新規作成」→「ユーザー」の順に選択します。
  3. 「新規オブジェクト - ユーザー」というペインの「名」フィールドに、覚えやすい名前としてSPPSImpersonatorなどを入力します。
  4. この同じ文字列を「ユーザー ログオン名」フィールドにコピーし、「次へ」をクリックします。
  5. 次のパネルで、パスワードの選択と確認用の再入力を求められます。

ノート:

信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。

図60-1 Windowsの偽装のための信頼できるユーザー・アカウントの設定

図60-1の説明が続きます
「図60-1 Windowsの偽装のための信頼できるユーザー・アカウントの設定」の説明

60.3.3 信頼できるユーザーへの権限の割当て

オペレーティング・システムの一部として機能する権限を信頼できるユーザーに付与できます。

信頼できるユーザーに権限を割り当てるには、次のようにします。

  1. 使用する環境に該当するステップを実行してください。

    • Windows 2008: 「スタート」→「プログラム」→「管理ツール」→「ローカル セキュリティ ポリシー」の順に選択します。

      Webgateがインストールされているコンピュータに適用されるグループ・ポリシー・オブジェクトを変更する必要があります。

  2. 左ペインのツリーで、「ローカル ポリシー」の横のプラス・アイコン(+)をクリックします。
  3. 左ペインのツリーで「ユーザー権利の割り当て」をクリックします。
  4. 右ペインで「オペレーティング システムの一部として機能」をダブルクリックします。
  5. 「ユーザーまたはグループの追加」をクリックします。
  6. 「ユーザーまたはグループの追加」パネルで、「ユーザーとグループ名」テキスト・ボックスに信頼できるユーザーのユーザー・ログオン名(この例ではMicrosoft Exchange Server 2010 Impersonator)を入力し、「OK」をクリックして変更を登録します。

図60-2 Windowsの偽装での信頼できるユーザーの権限の構成

図60-2の説明が続きます
「図60-2 Windowsの偽装での信頼できるユーザーの権限の構成」の説明

60.3.4 信頼できるユーザーのWebGateへのバインド

信頼できるユーザーの認証資格証明を指定して、信頼できるユーザーをWebゲートにバインドする必要があります。

この手順では、11g WebGateがAccess Managerに登録されていることが前提となっています。この手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。

関連項目:

OAM 11gエージェントの登録および管理

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
  2. 「起動パッド」タブで、「エージェント」をクリックします。
  3. この統合のために変更する11g WebGate登録を見つけます。

    • 有効なものすべてを見つける: 「状態」で「すべて」を選択して「検索」ボタンをクリックし、結果リスト内の目的のWebゲート名をクリックします。

  4. Webgate登録ページで、前に作成した信頼できるユーザー・アカウントのSharePointユーザー名とパスワードを入力します。
  5. 「適用」をクリックして変更をコミットします。

    Webゲートと信頼できるユーザーのバインドが作成されました。これで、Webゲートは、要求に応じて偽装を提供できるようになりました。要求は、偽装用に作成されたアプリケーション・ドメインの認可成功アクションによって作成されます。

60.3.5 アプリケーション・ドメインへの偽装レスポンスの追加

OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります。

このためには、この手順で説明しているように、認可ポリシーにレスポンス(ヘッダー・タイプ・レスポンス)を追加する必要があります。

関連項目:

『Oracle Fusion Middleware Oracle Access Management管理者ガイド』「リソースの保護およびSSOの有効化ポリシーの管理」

この手順では、登録済の11g WebGateのアプリケーション・ドメインが作成されていることを前提としています。この例のアプリーション・ドメインはMyImpersonationDomainです。環境はユーザーによって異なります。

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
  2. 「Access Manager」セクションで、「アプリケーション・ドメイン」をクリックします。
  3. OWAアプリケーション・ドメイン(偽装に関連するアプリケーション・ドメイン)を検索して開きます。

    次のように移動します。

    •         認可ポリシー
    •              保護対象リソース・ポリシー
    •                    レスポンス
  4. 「追加」ボタン、「レスポンスの追加」の順にクリックします。

    フォームに次のように入力します。

    • 「タイプ」リストから「ヘッダー」を選択します。

    • 「名前」フィールドに、このレスポンスの一意の名前を入力します。たとえば、IMPERSONATEと入力します。

    • 「値」フィールドに、このレスポンスの値を入力します。たとえば、 $user.useridと入力します。

  5. 「追加」「適用」の順にクリックして、変更を送信します。

このレスポンスは、2つ目のWebゲート・リクエスト(認可用)に使用されます。

60.3.6 偽装DLLのIISへの追加

IISは、IISImpersonationModule.dllをIIS構成に追加することで構成できます。

偽装DLLをIISに追加するには、次のようにします。

  1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
  2. IIS 7.xの左ペインで、ホスト名をクリックします。
  3. 中央ペインのIISヘッダーで、「モジュール」をダブルクリックします。
  4. 右ペインで「ネイティブ モジュールを構成」をクリックして「登録」をクリックします。
  5. ウィンドウに、モジュール(たとえば、Oracle偽装モジュール)を入力します。
  6. 「パス」フィールドに、IISImpersonationModule.dllへのフルパスを入力します。

    デフォルトでは、パスは次のとおりです。

    Webgate_install_dir\webgate\iis\lib\IISImpersonationModule.dll

    ここで、Webgate_install_dirはWebゲートのインストール・ディレクトリです。

    ノート:

    パスにスペースが存在する場合(たとえば、C:\Program Files\Oracle\...)文字列全体を二重引用符(" ")で囲みます。

  7. 「OK」をクリックして、モジュールを登録します。
  8. 新しく作成したモジュールの名前を確認し、「OK」をクリックして、各Webサイトにモジュールを適用します。
  9. デフォルト・サイト・レベルからこのモジュールを削除します(そうしない場合、マシン・レベルで追加すると継承されます)。
  10. このステップで追加したIISImpersonationModule.dllファイルはowaアプリケーションおよびecpアプリケーションにのみ適用され、サイト・レベルから削除されていることを確認します。

    OWAに移動し、「モジュール」をダブルクリックし、「ネイティブ モジュールを構成」をクリックし、目的のモジュール(たとえばOracle Impersonation Module)を選択します。

    (ecp):に移動: 「モジュール」をダブルクリックし、「ネイティブ モジュールを構成」をクリックし、目的のモジュール(たとえばOracle Impersonation Module)を選択します。

60.3.7 偽装のテスト

イベントビューアまたはWebページを使用して、偽装をテストできます。

偽装をテストする方法には次の2つがあります。

60.3.7.1 IIS仮想サイトの作成

Microsoft OWA 2010コンテキスト外の偽装機能をテストしたりシングル・サインオンをテストするには、IIS仮想Webサイト上のターゲットWebページが必要です。

そのような仮想Webサイトを作成するには、次のタスクを実行します。

  1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順にクリックします。
  2. 左ペインにあるツリー上のローカル・コンピュータのアイコンの左側のプラス・アイコン(+)をクリックします。
  3. 左ペインにあるツリー上の「Webサイト」を右クリックして、メニューから「新規作成」「Webサイト」の順に選択します。
  4. 「Webサイト作成」ウィザードでプロンプトに応答します。
  5. 仮想サイトを作成したら、このガイドで説明しているように、アプリケーション・ドメインでこれを保護する必要があります。

60.3.7.2 イベント・ビューアを使用した偽装のテスト

Windows 2008イベント・ビューアを使用して偽装のテストを実行する場合、実際のテストを実行する前にイベント・ビューアを構成する必要があります。

偽装をテストするには、次のようにします。

  1. 「スタート」メニュー→「イベント ビューア」の順に選択します。
  2. 左ペインで「セキュリティ」を右クリックし、「プロパティ」をクリックします。
  3. 「セキュリティ」プロパティ・シートで「フィルタ」タブをクリックします。
  4. すべての「イベントの種類」にチェックが付いていることおよび「イベント ソース」と「分類」の各リストが「すべて」に設定されていることを確認し、「OK」をクリックして「プロパティ」シートを閉じます。

    イベント・ビューアは、リソース・リクエストに関連付けられたheaderVarに関する情報が表示されるように構成されました。

    図60-3 イベント・ビューアの設定の確認

    図60-3の説明が続きます
    「図60-3 イベント・ビューアの設定の確認」の説明
  5. 新規IIS仮想サーバー(仮想サイト)を作成します。
  6. 仮想サイト上のツリーのどこかにターゲットWebページを配置します。
  7. Webページでブラウザを指します

    偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。

60.3.7.3 Webページを使用した偽装のテスト

リクエストに関する情報を返し、表示できる.aspページやPerlスクリプトなどの動的テスト・ページを使用して偽装をテストすることも可能です。

偽装をテストするには、次のようにします。

  1. パラメータAUTH_USERおよびIMPERSONATEを表示する.aspページまたはPerlスクリプトを作成します。次のサンプル・ページのようなコードになります。
    <TABLE border=1>
<TR>
<TD>Variable</TD>
<TD>&nbsp&nbsp</TD>
<TD>Value</TD></TR>
<%for each servervar in request.servervariables%>
<TR>
<TD><%=servervar%></TD>	
<TD>&nbsp&nbsp</TD>
<TD><%=request.servervariables(servervar)%>&nbsp</TD>
</TR>
  2. IIS仮想サイトを作成するかまたは前のタスクで作成したものを使用します。
  3. 新規仮想サイトのツリーのどこかに .aspページまたはPerlスクリプト(前のリストのサンプルなど)を配置します。
  4. ブラウザでそのページに移動します。ページに、リクエストしたユーザーの名前に設定されたAUTH_USERとIMPERSONATEの両方が表示されます。
前
 		次
目次へ移動
目次