Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Oracle Access Managementコンソールまたはリモート登録ツールを使用して、エージェントの登録および更新を実行できます。特に明記しないかぎり、この項の情報は、このどちらのツールを使用したエージェント登録にも適用されます。
この項の内容は次のとおりです。
管理者は、運用する各エージェントをAccess Managerに登録する必要があります。登録されたエージェントのみがOAMサーバーと通信でき、保護されたリソースにアクセスを試みるユーザーの情報を処理できます。
このエージェントは、保護対象のアプリケーションをホストするコンピュータ上に存在すると考えられます。ただし、プロキシWebサーバー上や、別のホスト上のアプリケーションに存在する場合もあります。
エージェント・キーとパートナ・キーは登録時に作成されます。また、エージェント登録時にポリシーを作成してアプリケーションを保護することもできます。エージェント登録時にポリシーを自動作成するよう選択した場合、ホスト識別子とアプリケーション・ドメインは、基本ポリシーとリソース定義を使用して作成されます。アプリケーション・ドメインとポリシーは、後から表示および管理できます。
ノート:
次に示すように、同じアプリケーション・ドメインとポリシーを使用して、1つのホスト識別子で複数のWebゲートまたはアクセス・クライアントを登録できます。
Webgateを登録するときに、ホスト識別子(ユーザーが名前を選択)を作成し、「ポリシーの自動作成」を有効にすることができます。
ステップ1と同じホスト識別子を使用して2つ目のWebゲートを登録し、「ポリシーの自動作成」ボックスをクリアしてポリシーが作成されないようにします。
(コンソールかリモート登録ツールのどちらかを使用して)登録が成功すると、Oracle Access Managementコンソールに完全なエージェント登録が表示され、それがクラスタ内の管理対象サーバーすべてに伝播されます。表14-4は、エージェント登録時に生成されるキーとポリシーを示しています。
表14-4 エージェント登録時に生成されるキーとポリシー
キーおよびポリシー | アクセス可能 | アクセス可能な経路 |
---|---|---|
11g Webゲート・エージェントごとに1つのキー すべての10gエージェントに1つのキー ローカル・エージェントのブートストラップ・ファイルに格納されているOpenSSOエージェントごとに1つのキー OSSOエージェントごとに1つのキー |
|
|
アプリケーションのパートナ・キー (OpenSSOエージェントには存在しません) |
|
クライアント側 |
アプリケーション・ドメインとデフォルト・ポリシーは、エージェントの登録時に必要に応じて生成されます。
|
|
|
Oracle Access Managementコンソールを使用してエージェントを登録すると、Oracle Access Managementコンソール・ホスト(AdminServer)でエージェント用に新しいファイル・システム・ディレクトリが作成されます。
この新しいディレクトリには、表14-5に示すように、登録済エージェント用に生成されたファイルが格納されます。
表14-5 エージェント登録に関連付けられるアーティファクト
登録アーティファクト | 生成対象 |
---|---|
すべてのWebゲートまたはアクセス・クライアント ObAccessClient.xml |
コンソール・ホスト(AdminServer)上のすべてのWebゲート/アクセス・クライアント。 実行時に定期的な更新確認が行われます。変更が検出されると、ObAccessClientが自動的に更新されます。 ノート: 事前登録された10g IAMSuiteAgentは、ブートストラップや構成にObAccessClient.xmlを使用しません。 関連項目: この表のクライアント上で生成されるプロパティ・ファイル。 |
cwallet.sso 11g Webゲートのみ |
トランスポート・セキュリティ・モードに関係なく、11g Webゲート。 |
安全な通信のための証明書とパスワード |
すべてのWebゲート/アクセス・クライアント。次に例を示します。
証明書モード:
ノート: 11g Webゲートの登録の編集時にpassword.xmlが更新されるのは、モードが「オープン」から「証明書」、あるいは「簡易」から「証明書」に変更された場合のみです。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。 関連項目: 簡易モードおよび証明書モードのトランスポート・セキュリティの詳細は、「Access Managerの設定の構成」を参照してください。 |
OpenSSOプロパティ・ファイル |
|
osso.confファイル |
関連項目: 「レガシーOSSOエージェントの登録および管理」 |
生成または更新されたアーティファクトは、コンソール・ホスト(AdminServer)からエージェントのインストール・ディレクトリにコピーする必要があります(表14-6を参照)。
表14-6 生成されたアーティファクトのコピー
エージェント・タイプとアーティファクト | 生成されたアーティファクトをエージェントのインストール・ディレクトリにコピー |
---|---|
ObAccessClient.xml (および11g Webゲートcwallet.sso) 11g Webゲートまたはアクセス・クライアント |
エージェントの起動前に、ObAccessClientファイル(およびcwallet.sso)を、生成された場所(AdminServer (コンソール)ホスト)からエージェントのインストール・ディレクトリにコピーします。 関連項目: 「OAM 11gエージェントの登録および管理」 |
ObAccessClient.xml 10g Webゲートまたはアクセス・クライアント |
エージェントの起動前に、ObAccessClient.xmlを、生成された場所からエージェントのインストール・ディレクトリにコピーします。たとえば、次のAdminServer (コンソール)ホストからコピーします: ノート: 事前登録済のIAMSuiteAgentは、ObAccessClient.xmlを使用しないため、変更する必要はありません。 |
OpenSSOエージェントのプロパティ・ファイル |
|
10g OSSOエージェントのosso.conf |
関連項目: 「レガシーOSSOエージェントの登録および管理」 |