Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
ヘッダー変数を使用して偽装を有効にするには、次の項の手順を完了します。
OAMサーバーでWindows偽装を実装する前に、環境を準備して動作を確認します。
表60-1に、ヘッダー変数による偽装を有効化する場合のAccess Managerプラットフォーム要件を示します。
表60-1 ヘッダー変数による偽装要件
項目 | プラットフォーム |
---|---|
11g WebGate (および偽装dll) |
Microsoft IIS 7.xおよびWindows Server 2008と2013 |
偽装dll |
Webgate_install_dir\webgate\iis\lib\IISImpersonationModule.dll
|
Kerberos Key Distribution Center (KDC)およびActive Directory |
Windows Server 2008と2013 |
クライアントおよびサーバー・マシン |
|
セキュリティ・コンテキスト |
オペレーティング・システムとして動作する権限が備わっている必要があります。 ノート: IWAM_Machineは推奨されません。 |
相互認証が必要 |
相互認証はリモートでサポートされます。 |
HeaderVarとユーザー・プロファイル属性のどちらを使用して偽装を有効にするかにかかわらず、戻り値はActive Directoryに含まれる信頼できるユーザーである必要があります。この特別なユーザーは、偽装以外には使用しないでください。
次の手順例では、SPPSImpersonatorを新規オブジェクト - ユーザーとして使用します。SPPSImpersonatorはSharePoint偽装を示すので、OWAImpersonatorも使用できます。環境はユーザーによって異なります。
ノート:
信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。
信頼できるユーザーの認証資格証明を指定して、信頼できるユーザーをWebゲートにバインドする必要があります。
この手順では、11g WebGateがAccess Managerに登録されていることが前提となっています。この手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。
OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります。
このためには、この手順で説明しているように、認可ポリシーにレスポンス(ヘッダー・タイプ・レスポンス)を追加する必要があります。
関連項目:
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「リソースの保護およびSSOの有効化ポリシーの管理」。
この手順では、登録済の11g WebGateのアプリケーション・ドメインが作成されていることを前提としています。この例のアプリーション・ドメインはMyImpersonationDomainです。環境はユーザーによって異なります。
このレスポンスは、2つ目のWebゲート・リクエスト(認可用)に使用されます。
IISは、IISImpersonationModule.dll
をIIS構成に追加することで構成できます。
偽装DLLをIISに追加するには、次のようにします。
Microsoft OWA 2010コンテキスト外の偽装機能をテストしたりシングル・サインオンをテストするには、IIS仮想Webサイト上のターゲットWebページが必要です。
そのような仮想Webサイトを作成するには、次のタスクを実行します。
Windows 2008イベント・ビューアを使用して偽装のテストを実行する場合、実際のテストを実行する前にイベント・ビューアを構成する必要があります。
偽装をテストするには、次のようにします。