Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
1つのIISインスタンスに対して複数のWebゲートをインストールする場合、次のようになります。
webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。
/access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。
複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。
マシンの(上位)Webサイト・レベルに構成できるpostgate.dllは1つだけです。ただし、上位レベルのWebサイトの下に異なるレベルで複数のwebgate.dllを構成できます。1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。
タスクの概要: 1つのIISインスタンスに対する複数のWebgateのインストールと構成:
ノート:
1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebgateが構成されている環境では、postgate.dllはサポートされません。
1つのIISインスタンスに対して複数のWebゲートがある場合に各Webゲートをインストールするには、次のようにします。
「Access Manager 11gを使用する10g Webゲートの登録および管理」の説明に従って、ISAPI Webゲートをインストールします。
保護するWebサイトに移動し、次のステップを使用してwebgate.dllをISAPIフィルタとして構成します。
インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
「Web Sites」を右クリックして、「Properties」オプションをクリックします。
「ISAPI filter」タブをクリックしてwebgate.dllのパスを探します。フィルタ内に存在する場合はそれを選択して、「Remove」ボタンをクリックします。
「Web Sites」で、保護するWebサイトの名前を右クリックし、「Properties」オプションを選択します。
「ISAPI filter」タブをクリックしてフィルタのDLLを追加します。
次のフィルタを追加し、webgate.dllファイルのパスを指定します。webgateという名前を付けます。
Webgate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
これらの変更を保存して適用します。
「Directory Security」タブに移動します。
Access ManagerでこのWebサーバーの認証を行えるように「anonymous access」と「basic authentication」が選択されていることを確認します。
これらの変更を保存して適用します。
保護するWebサイト・レベルに移動し、新しくインストールしたWebgate_install_dirを指す/access仮想ディレクトリを次のように作成します。
「Web Sites」で、保護するWebサイトの名前を右クリックします。
「New」を選択して、該当のWebgate_install_dir/accessを指す新しい仮想ディレクトリaccess
を作成します。
「Access Permissions」で、「Read」、「Run Scripts」および「Execute」を選択します。
これらの変更を保存して適用します。
ファイル・システムで、次のようにAccess Managerのディレクトリ権限を設定します。
ファイル・システムで、Webgate_install_dir\accessを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
IUSR_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIUSR_ORACLEを選択します。
IWAM_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIWAM_ORACLEを選択します。
IIS_WPGユーザーを追加して、「変更」に対して「許可」を選択します。
NETWORK SERVICEユーザーを追加して、「変更」に対して「許可」を選択します。
Administratorsグループで、「変更」に対して「許可」を選択します。
簡易モードまたは証明書モードでWebGateが設定されている場合は、次のステップを実行します。
ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
IUSR_machine_name、IWAM_machine_name、IIS_WPG、NETWORK SERVICEユーザーの「読取り」権限に対して「許可」を選択します。
次のステップを実行して新しいWebサービス拡張機能を追加します。
「Web Service Extensions」を右クリックして、「Add a new Web service extension...」を選択します。
拡張機能名Oracle Webgate
を追加します。
「Add」をクリックして拡張機能ファイルのパスを追加し、該当のwebgate.dllのパスを入力します。
Webgate_install_dir\access\access\oblix\apps\webgate\bin\webgate.dll
変更を保存する場合は、「OK」をクリックします。
「Set extension status to allowed」の横にあるチェック・ボックスを選択します。
変更を保存する場合は、「OK」をクリックします。
上位のWebサイト・レベル(「Webサイト」)のISAPIフィルタにwebgate.dllがないことを確認します。
次の項目の手順に従い次の一連のタスクを実行します。
IISインスタンスに対して次のWebgateをインストールするには、これらのステップを繰り返します。
クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。
アクセス・システムによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のAccess ManagerのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。アクセス・システムでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。
次のステップを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。
ノート:
このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。
偽装DLLを追加するには:
IIS v6 WebでSSLを有効にし、cert_authn.dllをISAPIフィルタとして追加できます。
このタスクを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。
ノート:
特に明記しないかぎり、この項の手順は32ビットと64ビットのWebgateおよびIIS 6に同様に適用されます。
設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを追加する必要があります。
IIS v6 WebでSSLを有効にするには:
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
ローカル・コンピュータのアイコンを開き、Webサイトを表示します。
該当するそれぞれのWebサイトを開いてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dll
を右クリックして、「Properties」を選択します。
「Properties」パネルで「File Security」タブを選択します。
「Secure Communications」サブパネルで「Edit」をクリックします。
「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。
cert_authn.dllの「Properties」パネルで「OK」をクリックします。
このホストにインストールした各Webgateに対して同じ処理を繰り返します。
次のタスク「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。
ISAPIフィルタとしてcert_authn.dllを追加するには: