14.1 ポリシー強制エージェントの概要

エージェントとは、アプリケーションが存在するWebサーバー(Oracle HTTP Serverなど)にインストールできる、ソフトウェア・プラグインです。保護されたリソースへのアクセスを保護するには、Webサーバーやアプリケーション・サーバー、サードパーティ製のアプリケーションを、Access Managerに登録されたエージェントに関連付ける必要があります。複数のリソースへのアクセス時のユーザーの再認証を省略するために、アプリケーションが、シングル・サインオン(SSO)プロバイダであるAccess Managerに認証機能を委任します。

エージェントの登録時に、アプリケーションを自動的に登録して、基本ポリシーを自動的に生成できます。また、エージェントの登録時の自動ポリシー生成をオフにして、手動でポリシーを作成することもできます。

登録後、エージェントはOAMサーバーとそのサービスとの間の通信を行って、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。次の各項では、エージェントのタイプの概要を示します。

14.1.1 OAMエージェントのエージェント・タイプおよび実行時処理

Access Manager 11.1.2では、各エージェントがリクエストのフィルタとして機能します。

デプロイメントには、表14-1で説明するエージェント・タイプを任意の組合せで含めることができます。

表14-1 エージェント・タイプ

エージェント・タイプ	説明
OAMエージェントノート: 特に明記しないかぎり、Webgateという用語とアクセス・クライアントという用語は同じ意味で使用されます。	OAMエージェントは、Oracle Access Managementのインストール後に、別個にインストールする必要があります。エージェントをAccess Managerに登録すると、そのエージェントは、登録済のOAMサーバーおよびAccess Managerサービスと直接通信します。OAMエージェントはOAMプロキシを使用してAccess Managerと通信し、リクエストを掃除して、すべてのエージェントに同じように応答します。次のOAMエージェント・タイプが使用できます。 Webgate: すぐに使用可能なWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOAMサーバーに転送します。Access Managerには、様々なWebサーバーのWebゲートが同梱されています。 11g Webゲート (「Access Manager 11gを使用する10g Webゲートの登録および管理」)の提供内容: プラットフォーム用のOracle Universal Installer ホストベースのCookie 個別のWebゲートのOAMAuthnCookie_<host:port> 認可ポリシーに対するリソース認可結果 Webゲート認可キャッシュパラメータをチューニングするための診断ページ外部資格証明コレクタとしての役割を果たす機能関連項目: 「Mobile and Social用の11g Webゲート機能について」「外部資格証明コレクタとして構成された11g Webゲートについて」パフォーマンスのチューニング 10g Webゲートの提供内容: InstallShieldおよびプラットフォームごとに1つのインストーラドメインベースのCookie ObSSOCookie (すべての10g Webゲートに対して1つ) Webサーバー構成関連項目: この表の10gの事前登録済のIAMSuiteAgentおよび「Access Manager 11gを使用する10g Webゲートの登録および管理」プログラムによるカスタム・アクセス・クライアント: Access Managerは、純粋なJavaソフトウェア開発キット(SDK)を提供しています。このSDKを使用して、カスタムのアクセス・クライアントや、Access Managerの認証および認可機能(およびカスタム・トークン)の拡張機能を作成します。アクセス・クライアントは、ユーザーやアプリケーションからのWebおよびWeb以外(非HTTP)のリソースに対するリクエストを処理します。詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照してください。
IAMSuiteAgent 事前登録済のOAM 10gエージェント	この事前登録された10gエージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントには、付属のアプリケーション・ドメイン(IAMSuite)と、変更することのできない基本ポリシーが含まれています。関連項目: 「事前登録された10g WebゲートIAMSuiteAgentについて」
レガシーOSSOエージェント	mod_ossoは、中央のOSSOサーバーでユーザーを認証するOracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。 Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信します。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。 Access Managerは、リソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザー用のリダイレクトURLを渡します。関連項目: 「レガシーOSSOエージェントの登録および管理」。
レガシーOpenSSOエージェント	Javaエージェントは、OpenSSOサーバーと連動するようにJ2EEコンテナにデプロイします。Webエージェントは、任意のWebコンテナまたはサーブレット・コンテナにデプロイできます。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。 Access Managerは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。適用範囲は、ホストベースまたはドメインベースになります。 OpenSSOエージェントのキーはローカルに保存されます(エージェント・ブートストラップ・ファイル、エージェント・ホスト)。関連項目: 「レガシーOpenSSOエージェントの登録および管理」。

エージェント・タイプ

説明

OAMエージェント

ノート: 特に明記しないかぎり、Webgateという用語とアクセス・クライアントという用語は同じ意味で使用されます。

OAMエージェントは、Oracle Access Managementのインストール後に、別個にインストールする必要があります。エージェントをAccess Managerに登録すると、そのエージェントは、登録済のOAMサーバーおよびAccess Managerサービスと直接通信します。OAMエージェントはOAMプロキシを使用してAccess Managerと通信し、リクエストを掃除して、すべてのエージェントに同じように応答します。次のOAMエージェント・タイプが使用できます。

Webgate: すぐに使用可能なWebサーバーのアクセス・クライアントは、WebリソースのHTTPリクエストを捕捉して、これらをOAMサーバーに転送します。Access Managerには、様々なWebサーバーのWebゲートが同梱されています。
- 11g Webゲート (「Access Manager 11gを使用する10g Webゲートの登録および管理」)の提供内容:
  - プラットフォーム用のOracle Universal Installer
  - ホストベースのCookie
  - 個別のWebゲートのOAMAuthnCookie_<host:port>
  - 認可ポリシーに対するリソース
  - 認可結果
  - Webゲート認可キャッシュ
  - パラメータをチューニングするための診断ページ
  - 外部資格証明コレクタとしての役割を果たす機能
  - 関連項目:
  - 「Mobile and Social用の11g Webゲート機能について」
  - 「外部資格証明コレクタとして構成された11g Webゲートについて」
  - パフォーマンスのチューニング
- 10g Webゲートの提供内容:
  - InstallShieldおよびプラットフォームごとに1つのインストーラ
  - ドメインベースのCookie
  - ObSSOCookie (すべての10g Webゲートに対して1つ)
  - Webサーバー構成
  - 関連項目: この表の10gの事前登録済のIAMSuiteAgentおよび「Access Manager 11gを使用する10g Webゲートの登録および管理」
プログラムによるカスタム・アクセス・クライアント: Access Managerは、純粋なJavaソフトウェア開発キット(SDK)を提供しています。このSDKを使用して、カスタムのアクセス・クライアントや、Access Managerの認証および認可機能(およびカスタム・トークン)の拡張機能を作成します。アクセス・クライアントは、ユーザーやアプリケーションからのWebおよびWeb以外(非HTTP)のリソースに対するリクエストを処理します。詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照してください。

IAMSuiteAgent

事前登録済のOAM 10gエージェント

この事前登録された10gエージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントには、付属のアプリケーション・ドメイン(IAMSuite)と、変更することのできない基本ポリシーが含まれています。

レガシーOSSOエージェント

mod_ossoは、中央のOSSOサーバーでユーザーを認証するOracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。

Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信します。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。

Access Managerは、リソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザー用のリダイレクトURLを渡します。

関連項目: 「レガシーOSSOエージェントの登録および管理」。

レガシーOpenSSOエージェント

Javaエージェントは、OpenSSOサーバーと連動するようにJ2EEコンテナにデプロイします。Webエージェントは、任意のWebコンテナまたはサーブレット・コンテナにデプロイできます。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。

Access Managerは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。

適用範囲は、ホストベースまたはドメインベースになります。
OpenSSOエージェントのキーはローカルに保存されます(エージェント・ブートストラップ・ファイル、エージェント・ホスト)。

関連項目: 「レガシーOpenSSOエージェントの登録および管理」。

表14-2に、エージェントの登録、構成、管理およびシングル・サインオンをサポートするAccess Managerの機能を示します。各項目のリンク先には、詳細が記載されています。

表14-2 エージェントの登録とSSOサポート

Oracleの提供内容	説明
Oracle Access Managementコンソール	エージェントの登録、構成、管理。関連項目: 「コンソールを使用したOAMエージェントの登録」
oamregツール	リモートによるエージェントの登録と管理関連項目: 「リモート登録ツールの取得および設定」。
SSO実装	Access Managerは、様々なSSOシナリオをサポートします。関連項目: 「Access Managerシングル・サインオンのコンポーネント」
インターネット上での情報交換の保護に使用されるプロトコル。	これは、選択した資格証明コレクタに応じて変化します。関連項目: 表22-5
ログイン・フォームとログアウト・フォーム	ログイン・フォームとログアウト・フォームの場所は、資格証明コレクタに応じて変化します。関連項目: 表22-5および「11g Webゲートが関与するセッションの集中ログアウトの構成」
暗号化キー	登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成および使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。関連項目: 表1-2
キー・ストレージ	エージェント側: エージェントごとのキーは、ウォレット・ファイルのOracle Secret Storeにローカルに格納されます。 OAMサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。

表14-3に、OAMエージェントの実行時の処理についての情報を示します。

関連項目:

「資格証明コレクションおよびログインの理解」

表14-3 Access Managerの実行時の処理の概要

エージェント・タイプ	説明
11g Webゲート 11gアクセス・クライアント	インストールと登録が終わると、11g WebゲートはOAMプロキシを使用してAccess Managerと通信し、リクエストを"掃除"して、すべてのエージェントに同じように応答します。プロセス概要、OAMAuthnCookieなしの認証リクエスト: Basic認証スキームによって保護されたリソースに対するリクエストを認可ヘッダー(資格証明)なしで受信した場合 Webゲートは、フロント・チャネルを介して(スキーム構成に応じて)埋込み資格証明コレクタまたは外部資格証明コレクタにリダイレクトして、資格証明を収集します。資格証明コレクタは、認証スキームに対して定義されたチャレンジ・メソッドに基づいてユーザーの資格証明を収集します。ユーザーが認証されると、OAMプロキシ(埋込みコレクタ)またはデタッチされたコレクタそのもの(DCC)が、トークン用のバック・チャネル・プロトコルを通じてOAMサーバーと通信し、そのOAMサーバーが発行したトークンを使用して、フロント・チャネルを通じてレスポンスを返します。 Webゲートは、このレスポンスを検証し、OAMサーバーが発行した認証トークンを抽出して、OAMAuthnCookieにトークンを設定します。 Webゲートは、新しく設定したOAMAuthnCookieがアタッチされた状態で、リクエストされたリソースにリダイレクトされます。 Webゲートは、OAMAuthnCookieを検証し、バック・チャネルを介して認可を実行して、認可に成功したらページを提示します。プロセス概要、Basic認証: Basic認証スキームによって保護されたリソースに対するリクエストを認可ヘッダー(資格証明)なしで受信した場合 Webゲートは、認証スキームにステータス・コード`401(認可が必要)`とともに記述されているレルムが含まれた`WWW-Authenticate`ヘッダーによって応答します。ブラウザ・クライアントが`WWW-Authenticate`ヘッダーを解釈し、ユーザーから資格情報を収集します。ブラウザ・クライアントが資格証明を含む認証ヘッダーを使用して、リクエストを再実行します。関連項目: 「外部資格証明コレクタとして構成された11g Webゲートについて」「Mobile and Social用の11g Webゲート機能について」
10g Webゲート 10gアクセス・クライアント	インストールおよび登録が終わると、10g Webゲートはブリッジとして機能するOAMプロキシを使用してAccess Managerと直接通信します。関連項目: このエージェントおよびアプリケーション・ドメインの詳細は、「IAMSuiteAgent」を参照してください。レガシー10g WebゲートのAccess Managerへの登録の詳細は、「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。 Oracle ADFセキュリティとOPSS SSOフレームワーク用にコードが記述されたWebアプリケーションと現在連携して動作しているレガシー10g Webゲートの詳細は、「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。 Access Manager 11g (またはOracle Access Manager 10g)によるWebLogicコンテナベースのセキュリティを使用するアプリケーション向けに、SSO用のIDアサーション・プロバイダ(IAP)として構成されたレガシー10g Webゲートの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
OpenSSOエージェント	関連項目: 「OpenSSOエージェントとAccess Manager間の実行時の処理」。
OSSOエージェント(mod_osso 10g)	関連項目: 「Access Manager使用時のOSSOエージェントの理解」。

14.1.2 外部資格証明コレクタとして構成された11g Webゲートについて

Oracle Access Manager 11.1.1では、埋込み資格証明コレクタ(ECC)がデフォルトです。ECCは、以前からOAMサーバーに統合されています。

Access Manager 11.1.2も、デフォルトでECCをサポートしています。ただし、Access Manager 11.1.2では、外部資格証明コレクタ(DCC)を使用するように11g Webゲートを構成することもできます。デフォルトのECCよりもDCCのほうが安全性が高いと考えられます。

DCCとして機能するように構成された11g Webゲートは、認証Webゲートと呼ばれます。リソースを保護するWebゲートは、リソースWebゲートと呼ばれます。

14.1.3 Mobile and Social用の11g Webゲート機能について

Webゲートは、クライアントと対話して認証および認可を実行しますが、これには、リダイレクションによる資格証明の収集、Cookieの設定によるセッション保持、エラーの報告などが含まれます。Webゲートは、通常はこのエンドツーエンドの対話に必要なすべての機能をサポートしているブラウザ・クライアントと連動します。

ただし、RESTコールを行う非ブラウザ・クライアントがリソースにアクセスして認証および認可を実行する必要があるケースもあります。このユースケースは、Mobile and Socialを使用して対処できます。

Mobile and Socialサポートを有効にするには、Webゲート・エージェント登録ページにある2つのユーザー定義パラメータを使用します。Mobile and Socialサービスは、Access Managerを使用したプログラムによる非ブラウザ・クライアントを使用します。詳細は、次のドキュメントを参照してください。

Oracle Access Management Mobile and Socialの管理
Oracle Fusion Middleware Oracle Access Management管理者ガイド

14.1.4 事前登録された10g WebゲートIAMSuiteAgentについて

10g Webゲートとコンパニオン・アプリケーション・ドメインは、IDM管理コンソールにシングル・サインオン機能を提供します。IAMSuiteAgentは、この目的で、OAMサーバーの初期のインストールおよび構成の一部としてインストールされ事前構成されています。

IAMSuiteAgentとコンパニオン・アプリケーション・ドメインは変更しないでください。ただし、IAMSuiteAgentを新しい10g Webゲートに置き換えることはできます。詳細は、次の各項を参照してください。