Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
エージェントとは、アプリケーションが存在するWebサーバー(Oracle HTTP Serverなど)にインストールできる、ソフトウェア・プラグインです。保護されたリソースへのアクセスを保護するには、Webサーバーやアプリケーション・サーバー、サードパーティ製のアプリケーションを、Access Managerに登録されたエージェントに関連付ける必要があります。複数のリソースへのアクセス時のユーザーの再認証を省略するために、アプリケーションが、シングル・サインオン(SSO)プロバイダであるAccess Managerに認証機能を委任します。
エージェントの登録時に、アプリケーションを自動的に登録して、基本ポリシーを自動的に生成できます。また、エージェントの登録時の自動ポリシー生成をオフにして、手動でポリシーを作成することもできます。
登録後、エージェントはOAMサーバーとそのサービスとの間の通信を行って、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。次の各項では、エージェントのタイプの概要を示します。
Access Manager 11.1.2では、各エージェントがリクエストのフィルタとして機能します。
デプロイメントには、表14-1で説明するエージェント・タイプを任意の組合せで含めることができます。
表14-1 エージェント・タイプ
エージェント・タイプ | 説明 |
---|---|
OAMエージェント ノート: 特に明記しないかぎり、Webgateという用語とアクセス・クライアントという用語は同じ意味で使用されます。 |
OAMエージェントは、Oracle Access Managementのインストール後に、別個にインストールする必要があります。エージェントをAccess Managerに登録すると、そのエージェントは、登録済のOAMサーバーおよびAccess Managerサービスと直接通信します。OAMエージェントはOAMプロキシを使用してAccess Managerと通信し、リクエストを掃除して、すべてのエージェントに同じように応答します。次のOAMエージェント・タイプが使用できます。
|
IAMSuiteAgent 事前登録済のOAM 10gエージェント |
この事前登録された10gエージェントは、IAMコンソール・スイートにシングル・サインオン機能を提供します。IAMスイート・エージェントには、付属のアプリケーション・ドメイン(IAMSuite)と、変更することのできない基本ポリシーが含まれています。 |
レガシーOSSOエージェント |
mod_ossoは、中央のOSSOサーバーでユーザーを認証するOracleAS 10gシングル・サインオン(OSSO)ソリューションの一部です。mod_ossoモジュールは、OracleASアプリケーションに認証を提供するOracle HTTP Serverモジュールの一部です。 Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信します。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。OSSOプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。 Access Managerは、リソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザー用のリダイレクトURLを渡します。 関連項目: 「レガシーOSSOエージェントの登録および管理」。 |
レガシーOpenSSOエージェント |
Javaエージェントは、OpenSSOサーバーと連動するようにJ2EEコンテナにデプロイします。Webエージェントは、任意のWebコンテナまたはサーブレット・コンテナにデプロイできます。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。 Access Managerは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。
関連項目: 「レガシーOpenSSOエージェントの登録および管理」。 |
表14-2に、エージェントの登録、構成、管理およびシングル・サインオンをサポートするAccess Managerの機能を示します。各項目のリンク先には、詳細が記載されています。
表14-2 エージェントの登録とSSOサポート
Oracleの提供内容 | 説明 |
---|---|
Oracle Access Managementコンソール |
エージェントの登録、構成、管理。 関連項目: 「コンソールを使用したOAMエージェントの登録」 |
oamregツール |
リモートによるエージェントの登録と管理 関連項目: 「リモート登録ツールの取得および設定」。 |
SSO実装 |
Access Managerは、様々なSSOシナリオをサポートします。 |
インターネット上での情報交換の保護に使用されるプロトコル。 |
これは、選択した資格証明コレクタに応じて変化します。 関連項目: 表22-5 |
ログイン・フォームとログアウト・フォーム |
ログイン・フォームとログアウト・フォームの場所は、資格証明コレクタに応じて変化します。 |
暗号化キー |
登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成および使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 関連項目: 表1-2 |
キー・ストレージ |
|
表14-3に、OAMエージェントの実行時の処理についての情報を示します。
表14-3 Access Managerの実行時の処理の概要
エージェント・タイプ | 説明 |
---|---|
11g Webゲート 11gアクセス・クライアント |
インストールと登録が終わると、11g WebゲートはOAMプロキシを使用してAccess Managerと通信し、リクエストを"掃除"して、すべてのエージェントに同じように応答します。 プロセス概要、OAMAuthnCookieなしの認証リクエスト: Basic認証スキームによって保護されたリソースに対するリクエストを認可ヘッダー(資格証明)なしで受信した場合
プロセス概要、Basic認証: Basic認証スキームによって保護されたリソースに対するリクエストを認可ヘッダー(資格証明)なしで受信した場合
関連項目: |
10g Webゲート 10gアクセス・クライアント |
インストールおよび登録が終わると、10g Webゲートはブリッジとして機能するOAMプロキシを使用してAccess Managerと直接通信します。 関連項目:
|
OpenSSOエージェント |
|
OSSOエージェント(mod_osso 10g) |
Oracle Access Manager 11.1.1では、埋込み資格証明コレクタ(ECC)がデフォルトです。ECCは、以前からOAMサーバーに統合されています。
Access Manager 11.1.2も、デフォルトでECCをサポートしています。ただし、Access Manager 11.1.2では、外部資格証明コレクタ(DCC)を使用するように11g Webゲートを構成することもできます。デフォルトのECCよりもDCCのほうが安全性が高いと考えられます。
DCCとして機能するように構成された11g Webゲートは、認証Webゲートと呼ばれます。リソースを保護するWebゲートは、リソースWebゲートと呼ばれます。
Webゲートは、クライアントと対話して認証および認可を実行しますが、これには、リダイレクションによる資格証明の収集、Cookieの設定によるセッション保持、エラーの報告などが含まれます。Webゲートは、通常はこのエンドツーエンドの対話に必要なすべての機能をサポートしているブラウザ・クライアントと連動します。
ただし、RESTコールを行う非ブラウザ・クライアントがリソースにアクセスして認証および認可を実行する必要があるケースもあります。このユースケースは、Mobile and Socialを使用して対処できます。
Mobile and Socialサポートを有効にするには、Webゲート・エージェント登録ページにある2つのユーザー定義パラメータを使用します。Mobile and Socialサービスは、Access Managerを使用したプログラムによる非ブラウザ・クライアントを使用します。詳細は、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Access Management管理者ガイド