14.2 エージェント登録の概要

Oracle Access Managementコンソールまたはリモート登録ツールを使用して、エージェントの登録および更新を実行できます。特に明記しないかぎり、この項の情報は、このどちらのツールを使用したエージェント登録にも適用されます。

この項の内容は次のとおりです。

• エージェント登録時に生成されるキーとポリシー

• ファイル・システム変更および登録されたエージェントのアーティファクト

14.2.1 エージェント登録時に生成されるキーとポリシー

管理者は、運用する各エージェントをAccess Managerに登録する必要があります。登録されたエージェントのみがOAMサーバーと通信でき、保護されたリソースにアクセスを試みるユーザーの情報を処理できます。

このエージェントは、保護対象のアプリケーションをホストするコンピュータ上に存在すると考えられます。ただし、プロキシWebサーバー上や、別のホスト上のアプリケーションに存在する場合もあります。

エージェント・キーとパートナ・キーは登録時に作成されます。また、エージェント登録時にポリシーを作成してアプリケーションを保護することもできます。エージェント登録時にポリシーを自動作成するよう選択した場合、ホスト識別子とアプリケーション・ドメインは、基本ポリシーとリソース定義を使用して作成されます。アプリケーション・ドメインとポリシーは、後から表示および管理できます。

ノート:

次に示すように、同じアプリケーション・ドメインとポリシーを使用して、1つのホスト識別子で複数のWebゲートまたはアクセス・クライアントを登録できます。

1. Webgateを登録するときに、ホスト識別子(ユーザーが名前を選択)を作成し、「ポリシーの自動作成」を有効にすることができます。

2. ステップ1と同じホスト識別子を使用して2つ目のWebゲートを登録し、「ポリシーの自動作成」ボックスをクリアしてポリシーが作成されないようにします。

(コンソールかリモート登録ツールのどちらかを使用して)登録が成功すると、Oracle Access Managementコンソールに完全なエージェント登録が表示され、それがクラスタ内の管理対象サーバーすべてに伝播されます。表14-4は、エージェント登録時に生成されるキーとポリシーを示しています。

表14-4 エージェント登録時に生成されるキーとポリシー

キーおよびポリシー	アクセス可能	アクセス可能な経路
11g Webゲート・エージェントごとに1つのキー すべての10gエージェントに1つのキー ローカル・エージェントのブートストラップ・ファイルに格納されているOpenSSOエージェントごとに1つのキー OSSOエージェントごとに1つのキー 関連項目: 「キーの使用、生成、プロビジョニングおよびストレージ」	OAMサーバー	クライアント側: クライアント・ホスト上の保護されたローカル・ストレージ(ローカルのウォレット・ファイル) サーバー側: Javaキーストア
アプリケーションのパートナ・キー (OpenSSOエージェントには存在しません)	11g Webゲート	クライアント側
アプリケーション・ドメインとデフォルト・ポリシーは、エージェントの登録時に必要に応じて生成されます。 エージェントの名前 デフォルトの認証および認可ポリシー(ただしトークン発行ポリシーではない)を使用して伝播されます。 登録時にエージェントに対して指定されたものと同じホスト識別子を使用して識別されます。	管理者は、Oracle Access ManagementコンソールまたはAccess Manager用のカスタムWLSTコマンドを使用して、登録されたエージェントの表示、変更および削除が可能です。 実行時にすべてのエージェント・タイプは、Webサイトにアクセスする試みをモニターし、リクエストを完了する前にOAMサーバーを使用して認証および認可サービスを提供します。	Oracle Access Managementコンソール ポリシー構成 アプリケーション・ドメイン DomainName

14.2.2 ファイル・システム変更および登録されたエージェントのアーティファクト

Oracle Access Managementコンソールを使用してエージェントを登録すると、Oracle Access Managementコンソール・ホスト(AdminServer)でエージェント用に新しいファイル・システム・ディレクトリが作成されます。

この新しいディレクトリには、表14-5に示すように、登録済エージェント用に生成されたファイルが格納されます。

表14-5 エージェント登録に関連付けられるアーティファクト

登録アーティファクト	生成対象
すべてのWebゲートまたはアクセス・クライアント ObAccessClient.xml	コンソール・ホスト(AdminServer)上のすべてのWebゲート/アクセス・クライアント。 実行時に定期的な更新確認が行われます。変更が検出されると、ObAccessClientが自動的に更新されます。 ノート: 事前登録された10g IAMSuiteAgentは、ブートストラップや構成にObAccessClient.xmlを使用しません。 関連項目: この表のクライアント上で生成されるプロパティ・ファイル。
cwallet.sso 11g Webゲートのみ	トランスポート・セキュリティ・モードに関係なく、11g Webゲート。
安全な通信のための証明書とパスワード	すべてのWebゲート/アクセス・クライアント。次に例を示します。 password.xml(簡易モードのグローバル・パスフレーズ用に最小限に暗号化されたファイル) aaa_cert.pem (Webゲート証明書ファイルの予約名。変更できません) aaa_key.pem (Webゲート・キー・ファイルの予約名。変更できません) 証明書モード: PEMキーストア別名 PEMキーストア別名パスワード ノート: 11g Webゲートの登録の編集時にpassword.xmlが更新されるのは、モードが「オープン」から「証明書」、あるいは「簡易」から「証明書」に変更された場合のみです。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。 関連項目: 簡易モードおよび証明書モードのトランスポート・セキュリティの詳細は、「Access Managerの設定の構成」を参照してください。
OpenSSOプロパティ・ファイル	関連項目: 「レガシーOpenSSOエージェントの登録および管理」
osso.confファイル	関連項目: 「レガシーOSSOエージェントの登録および管理」

生成または更新されたアーティファクトは、コンソール・ホスト(AdminServer)からエージェントのインストール・ディレクトリにコピーする必要があります(表14-6を参照)。

表14-6 生成されたアーティファクトのコピー

エージェント・タイプとアーティファクト	生成されたアーティファクトをエージェントのインストール・ディレクトリにコピー
ObAccessClient.xml (および11g Webゲートcwallet.sso) 11g Webゲートまたはアクセス・クライアント	エージェントの起動前に、ObAccessClientファイル(およびcwallet.sso)を、生成された場所(AdminServer (コンソール)ホスト)からエージェントのインストール・ディレクトリにコピーします。 関連項目: 「OAM 11gエージェントの登録および管理」
ObAccessClient.xml 10g Webゲートまたはアクセス・クライアント	エージェントの起動前に、ObAccessClient.xmlを、生成された場所からエージェントのインストール・ディレクトリにコピーします。たとえば、次のAdminServer (コンソール)ホストからコピーします: ノート: 事前登録済のIAMSuiteAgentは、ObAccessClient.xmlを使用しないため、変更する必要はありません。 関連項目: 「Access Manager 11gを使用する10g Webゲートの登録および管理」
OpenSSOエージェントのプロパティ・ファイル	関連項目: 「レガシーOpenSSOエージェントの登録および管理」
10g OSSOエージェントのosso.conf	関連項目: 「レガシーOSSOエージェントの登録および管理」