14.3 OAMリモート登録

エージェントの登録にコンソールを使用せずに、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。

リモート登録スクリプトのユーザーは、Access Managerのプライマリ・ユーザー・アイデンティティ・ストア内の管理者のロールに対してマップされるグループに含めることができます(「データ・ソースの管理」を参照)。

アプリケーション・ドメインのセキュアな登録と作成(および対称キーの生成)は、表14-7で説明するどちらのリモート登録モードを使用する場合でもサポートされます。

表14-7 リモート登録の方法

方法	説明
帯域内モード	エージェントをホストするWebサーバーを管理するネットワーク内の管理者は、このモードまたはOracle Access Managementコンソールを使用できます。
帯域外モード	ネットワーク外の管理者は、登録リクエストをネットワーク内の管理者に送信する必要があります。リクエストを処理した後、帯域内の管理者は、ファイルを使用して環境を構成する帯域外の管理者に必要なファイルを戻します。

アプリケーションごとの対称キーの生成: 登録されたmod_ossoまたは11g Webゲートごとに1つのキーが生成されて使用されます。ただし、すべての10g Webゲートに対して生成されるキーは1つのみです。

ノート:

また、レガシー・エージェント(10g Webゲート、OpenSSOおよびOSSO 10g)の登録もサポートされています。

リモート登録でサポートされていない機能は、次のとおりです。

• キーおよびエージェント情報の永続性

• 内部コンポーネントで使用されるキーの生成

• エージェント情報を読み取るAPIサポート

登録モードの詳細は、次の各項を参照してください。

• 帯域内リモート登録の実行

• 帯域外リモート登録の実行

• エージェント構成ファイルの更新

詳細は、「OAM 11gエージェントの登録および管理」を参照してください。

14.3.1 帯域内リモート登録の実行

帯域内のWebサーバー管理者は、リモート登録ツールを使用してアプリケーションをプロビジョニングするタスクを実行できます。特に明記しないかぎり、保護するリソースのあるエージェントのタイプに関係なく、タスクの内容は同じです。

この概要の「管理者」という用語は、Oracle Access Managementに登録されるデフォルト・システム・ユーザーのアイデンティティ・ストアの管理者に指定されるLDAPグループの一部であるネットワーク内のユーザーを示します。

1. 登録ツールを入手します(「リモート登録ツールの取得および設定」を参照してください)。
2. エージェントおよびアプリケーション・ドメインの一意の値で入力ファイルを更新します(「リモート登録リクエストの作成」を参照してください)。
3. 登録ツールを実行してエージェントを構成し、リソースのデフォルトのアプリケーション・ドメインを作成します(「帯域内リモート登録の実行」を参照してください)。
4. 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
5. アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。

14.3.2 帯域外リモート登録の実行

帯域外登録という用語は、帯域内および帯域外の管理者の両方の調整およびアクションを含む手動登録を示します。

帯域外リモート登録(ネットワーク外のエージェント)の概要を次に示します。

1. 帯域外の管理者の手順: 特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。

   • 登録ツールを入手します(「リモート登録ツールの取得および設定」を参照してください)。

   • テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインの一意の値を入力します(「リモート登録リクエストの作成」を参照してください)。

   • 選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。

2. 帯域内の管理者の手順:

   • 登録ツールを入手します(「リモート登録ツールの取得および設定」を参照してください)。

   • 登録ツールで帯域外の開始リクエストを使用してエージェントをプロビジョニングし、次のファイルを作成して帯域外の管理者に戻します。詳細は、「帯域外リモート登録の実行」を参照してください。

     • agentName_Response.xmlは帯域外の管理者用に生成され、ステップ3で使用されます。

     • OAMエージェント: 変更されたObAccessClient.xmlファイル(および11g Webゲートcwallet.ssoファイル)が作成され、帯域外の管理者がWebゲートをブートストラップするためにこのファイルを使用できます。

       11g Webゲート: SSOウォレット作成。

     • OSSOエージェント: OSSOモジュールをブートストラップする帯域外の管理者用に変更されたosso.confファイルが作成されます。

     • OpenSSOエージェント: 変更されたバージョンのOpenSSOプロパティ・ファイルが生成されます。

3. 帯域外の管理者の手順: agentName_Response.xmlファイルと一緒に登録ツールを使用し、エージェント構成および他の生成されたアーティファクトを適切なファイル・システム・ディレクトリにコピーします。

   ノート:

   outofbandモードで、帯域内の管理者は帯域外の管理者が送信した開始リクエスト・ファイルを使用し、追加処理のために生成されたagentName_Response.xmlファイルを帯域外の管理者に戻します。帯域外の管理者は、エージェント構成ファイルを生成する入力としてagentName_Response.xmlと一緒にリモート登録ツールを実行します。

4. 帯域内の管理者の手順: 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
5. 帯域外の管理者の手順: いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。

関連項目:

• 「エージェント構成ファイルの更新」

• 「リモート登録ツール、モードおよびプロセス」

14.3.3 エージェント構成ファイルの更新

登録(または更新)に成功したら、AdminServer (コンソール)ホスト上でエージェント構成ファイルを検索し、これらをエージェント・ホストにコピーする必要があります。

エージェントの登録または更新のアーティファクトは、表14-8を参照してください。

表14-8 エージェント登録および構成の更新アーティファクト

対象となるアーティファクト	説明
簡易または証明書モード	簡易または証明書モードを使用する場合、登録後、証明書アーティファクトもエージェント・ホストにコピーする必要があります。 関連項目: 「通信の保護」
11g OAMエージェント(Webゲート/アクセス・クライアント)	関連項目: 「OAM 11gエージェントの登録および管理」
10g OAMエージェント(Webゲート/アクセス・クライアント)	関連項目: 「Access Manager 11gを使用する10g Webゲートの登録および管理」
OSSOエージェント	関連項目: 「レガシーOSSOエージェントの登録および管理」
OpenSSOエージェント	関連項目: 「レガシーOpenSSOエージェントの登録および管理」