Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
アプリケーション・プロファイルでは、Mobile and Socialサーバー上のソーシャル・アイデンティティ・プロバイダ・サービスを使用するアプリケーションを定義します。
このパネルを使用して、モバイル・アプリケーション、Javaに準拠したアプリケーション・サーバーで実行されるWebアプリケーション、およびAccess Managerと統合されるWebアプリケーションで、ソーシャル・アイデンティティを使用するように構成します。
WebアプリケーションがAccess Managerと統合されていない場合は、ソーシャル・アイデンティティのログイン・ページをWebアプリケーションと統合します。詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の「ソーシャル・アイデンティティ・クライアントSDKを使用したアプリケーションの開発」を参照してください。
WebアプリケーションがAccess Managerに統合されている場合は、OAMApplicationという名前の事前構成済のアプリケーション・プロファイルを編集します。Oracle Access Managementのインストール時に、Access ManagerとMobile and Socialを同時にインストールすると、両方の製品が信頼されたパートナとして登録され、事前構成済のアプリケーション・プロファイルが含まれます。そのため、Access Managerとソーシャル・アイデンティティに統合されているWebアプリケーションを統合するために、コードを記述する必要はありません。Mobile and Socialに組み込まれているOAMApplicationアプリケーション・プロファイルは、Access Managerと連動するように事前構成済であり、わずかな構成変更を実行するだけで、使用している環境で動作するようになります。
通常、Access ManagerでWebゲートを構成すると、リソースおよびポリシーを含むアプリケーション・ドメインが作成されます。Mobile and Socialでは、OAMApplicationが、Access Managerのアプリケーション・ドメインに対応するアプリケーション・プロファイルです。そのため、10個のWebゲートをAccess Managerで定義し、それぞれが、ユーザー認証にMobile and Socialを使用する必要がある1つのアプリケーションを表している場合は、OAMApplicationをテンプレートとして使用してその10個のアプリケーション・ドメインに一致する名前を持つ10個の対応するアプリケーション・プロファイルを作成します。
ノート:
Access Managerでアプリケーションを保護するためにWebゲートをインストールすると、そのWebゲートのセットアップにより、認証メカニズムとしてLDAPを備えたアプリケーション・ドメインが自動的に作成されます。Mobile and Social認証を使用するには、認証スキームをOICSchemeに変更します。
この項では、アプリケーション・プロファイルの作成ウィザードおよび「アプリケーション・プロファイルの編集」ページのヘルプを提供します。
次の各項では、詳細を説明します。
アプリケーション・プロファイルを作成できます。
次のステップでは、アプリケーション・プロファイルの作成方法について説明します。
「「ソーシャル・アイデンティティの管理」ページを開く」の説明に従って、「ソーシャル・アイデンティティの管理」ページにアクセスします。
ホーム・エリアの「アプリケーション・プロファイル」パネルで、「作成」をクリックします。
「新規アプリケーション・プロファイルの作成」構成ページが表示されます。
アプリケーション・プロファイルの一般プロパティに値を入力します。
名前 - Webアプリケーションまたはモバイル・アプリケーションのコンテキスト名を表示します。この名前は、リソースを保護しているエージェントに登録されている名前と一致する必要があります。アプリケーションがAccess Managerに統合されている場合は、Access Managerに定義されているアプリケーション・ドメイン名が表示されます。これは、Mobile and Socialサービスのアプリケーション・プロファイルで定義されている名前と同じ値にする必要があります(該当する場合)。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
共有シークレット: モバイル・アプリケーションまたはWebアプリケーションの場合は、そのアプリケーションとMobile and Socialサーバーがセキュアな通信を容易にするために共有するセキュリティ・シークレットを指定します。Mobile and Socialのユーザー登録機能を使用するには、これが必要になります。任意の文字列で表します。
戻りURL: アプリケーションがモバイル・アプリケーションの場合、この値は使用されません。ただし、これは必須の属性です。そのため、モバイル・アプリケーションには、「モバイル・アプリケーション戻りURL」を使用してください。Webアプリケーションには、認証レスポンスを送り返すためにMobile and Socialが使用する必要があるURLを入力します。アプリケーションがAccess Managerに統合されている場合は、次のURLを指定します。これは、Mobile and Socialが認証レスポンスを送り返すために使用するURLです。
http://
oam-host
:
port
/oam/server/dap/cred_submit
モバイル・アプリケーション戻りURL - モバイル・アプリケーションに対して、認証レスポンスを送り返すためにMobile and Socialが使用する必要があるURLを入力します。この値は、モバイル・アプリケーションの戻りURLに一致している必要があります。
次のアプリケーション・プロファイル構成のプロパティに値を入力します。
ログイン・タイプ: ユーザー・ログイン・ページで、ユーザーがローカルでの認証とアイデンティティ・プロバイダを使用する認証のどちらかを選択できるようにする場合は、ローカル認証およびソーシャル・アイデンティティ・プロバイダ認証を選択します。モバイル・アプリケーションまたは非モバイル・アプリケーションのいずれかを構成している場合、ユーザー・ログイン・ページにローカル認証オプションを提示しないのであれば、「ソーシャル・アイデンティティ・プロバイダ認証のみ」を選択します。
Mobile and Socialのログイン・ページは「ソーシャル・アイデンティティ・プロバイダ認証のみ」をサポートします。ローカル・ログインはサポートされません。
ノート:
モバイル・アプリケーションを構成している場合は、「ログイン・タイプ」メニューからソーシャル・アイデンティティ・プロバイダ認証のみを選択します。ローカル認証およびソーシャル・アイデンティティ・プロバイダ認証オプションは、モバイル・アプリケーションに対しては無効です。
ブラウザ・ポップアップの有効化 - ログイン・ページをポップアップ・ウィンドウで開くには、「はい」を選択します。これがモバイル・アプリケーションの場合は、この値は無効になります。
ユーザー登録 - ユーザーがソーシャル・アイデンティティ・プロバイダで認証を受けた後にアプリケーションに登録できるようにする場合は、「有効」を選択します。アプリケーションのログイン・ページには、「ユーザー登録」フォームが表示され、ユーザーに登録を求めるようになります。ユーザーはそのフォームに入力して登録するか、「登録のスキップ」ボタンをクリックできます。ログイン・ページに「ユーザー登録」フォームを表示せず、ユーザーに登録を求めない場合は、「無効」を選択します。
登録URL - ユーザーがローカル・アカウントに登録できるようにユーザーを転送する先となるURLを入力します。通常、ユーザーは、アプリケーション・プロファイルで定義されている登録サービス属性に対応するフィールドがあるフォームに誘導されます。マップでは属性オブジェクトを含む暗号化トークンも、パラメータとしてクライアント・アプリケーションに渡されます。これらの属性は、ユーザーのプロファイル・データを登録ページに事前移入するために使用されます。
UserID属性 - ユーザーを一意に識別するために使用される属性名を入力します。この属性名は、「アプリケーション・プロファイル構成」ページの「アプリケーション・ユーザー属性」セクションにも表示されます。
ユーザー・プロファイル・サービス・エンドポイント - アプリケーションによって使用されるユーザー・プロファイル・サービス・エンドポイントを選択します。ユーザー・プロファイル・サービスによって、アプリケーションがLDAPディレクトリ・サービスに誘導され、そこで登録時にユーザーが作成されます。ユーザー・プロファイル・サービス・エンドポイントは、Mobile and Socialサービスで構成されます。
認証サービス・エンドポイント: 認証サービス・エンドポイントにより、ローカル・ログインが要求されたときにユーザーを認証する方法が決定されます。モバイル・アプリケーションの場合は、InternetIdentityAuthentication、またはInternetIdentityAuthenticationタイプの任意のカスタム認証を選択します。
認証リクエストをAccess Managerに転送するには、「/oamauthentication」を選択します。IAMSuiteアプリケーション・ドメイン内のMobile and Social認証ポリシーと関連付けられた認証スキームにより、ユーザーの認証方法が決定されます。
対応するエンドポイントで指定されているアイデンティティ・ストアを使用するには、/internetidentityauthenticationを選択します。
アプリケーション・プロファイル・プロパティ - アプリケーション・プロファイル属性を表に追加するには、「追加」をクリックします。サポート対象は次のとおりです。
app.passwd.field
- 登録ページ上のパスワードを暗号化します。password
を値として追加します。登録ページでパスワードをアスタリスク(*)でマスクするには、app.passwd.field
プロパティを追加し、その値としてpassword
を追加します。
oic.app.idp.oauth.token
- Mobile and Socialに、アプリケーションへの最終リダイレクトの一部としてOAuthアクセス・トークンを含めるように指示します。値としてtrue
を追加します。ユーザーがOAuthプロバイダ(Facebook、Twitter、LinkedIn)を選択した場合にのみ適用されます。
oic.app.user.token
- ユーザーがアイデンティティ・プロバイダで認証を受けてアプリケーションにリダイレクトされるときにJWTユーザー・トークンを作成します。値としてtrue
を追加します。このトークンには、アイデンティティ・プロバイダ関連のURIと、アイデンティティ・プロバイダに記録されているユーザー識別子の値が含まれています。このトークンを使用して、ユーザー・プロファイルRESTサービスなど、他の保護されているMobile and Social RESTサービスにアクセスします。
「追加」をクリックして、ソーシャル・アイデンティティ・プロバイダが認証後にアプリケーションに返す、アプリケーション・ユーザー属性を追加します。
これらの属性の詳細は、次の「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」のステップで構成します。
「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」表に行を追加して、ソーシャル・アイデンティティ・プロバイダが提供するアプリケーション属性に、ローカル(ユーザー)登録属性をマップします。
追加のアプリケーション・ユーザー属性については、前のステップで先に追加しておきます。次の各定義は、「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」表のプロパティに適用されます。
登録サービス属性 - このメニューから、構成する登録サービス属性を選択します。
ユーザー属性表示名 - 「登録サービス属性」列の属性に対して、ユーザー登録フォームに表示する名前を入力します。これが、ユーザーに表示される属性名です。
読取り専用 - ユーザーによる属性値の更新を防止する場合に選択します。属性値はフォーム上でグレー表示されるようになり、ユーザーによる更新はブロックされるようになります。
ノート:
Yahooがソーシャル・アイデンティティ・プロバイダである場合は、「名」および「姓」に対して「読取り専用」オプションを選択しないでください。Yahooでは、これらの属性の値は返されません。「読取り専用」オプションを選択すると、ユーザー登録に失敗し、例外エラーが表示されるようになります。
必須 - この属性をユーザー登録フォームの必須項目にする場合に選択します。
アプリケーション・ユーザー属性 - 「登録サービス属性」列の属性に対応する属性を選択します。
「次」をクリックして、サービス・プロバイダ・インタフェースを構成します。
「サービス・プロバイダ・インタフェース」ページが表示されます。
ドロップダウン・メニューから「DefaultServiceProviderInterface」を選択します。
サービス・プロバイダ・インタフェースの詳細は、「サービス・プロバイダ・インタフェースの定義」を参照してください。
「次」をクリックして、ソーシャル・アイデンティティ・プロバイダを構成します。
ソーシャル・アイデンティティ・プロバイダ・ページが表示されます。このセクションを使用して、1つ以上のソーシャル・アイデンティティ・プロバイダを選択して、ローカル・アプリケーション・ユーザーの属性をソーシャル・アイデンティティ・プロバイダの属性にマップします。たとえば、ソーシャル・アイデンティティ・プロバイダがGoogleの場合、一意のローカル・ユーザー識別子として電子メール・アドレスを使用するには、次の手順を実行します。
ソーシャル・アイデンティティ・プロバイダ列で「Google」を選択します。
2列の表が開きます。
次のようにマッピングを作成します。
「アプリケーション・ユーザー属性」列の最初の行で「uid」を選択します。
ソーシャル・アイデンティティ・プロバイダ・ユーザー属性列で、「電子メール」を選択します。
「終了」をクリックして、アプリケーション・プロファイルを作成します。
アプリケーション・プロファイルを編集または削除できます。
パネルでプロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。属性の説明は、「アプリケーション・プロファイルの作成」を参照してください。