59.6 Microsoft Windowsの偽装の設定

Active Directory以外のディレクトリ・サーバーを使用する場合、LDAPメンバーシップ・プロバイダを使用してください。OAMCustomMembershipプロバイダは、LDAPメンバーシップ・プロバイダの機能を利用します。

この項では、SharePoint Serverの統合または他のアプリケーションによる使用のための偽装の設定について説明します。

ノート:

LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint Serverと統合している場合、この項をスキップしてください。Windowsの偽装はLDAPメンバーシップ・プロバイダでは使用されません。

タスクの概要: 偽装の設定

1. 「信頼できるユーザー・アカウントの作成」の説明に従って、SharePoint Serverに接続されたActive Directoryでの偽装に対してのみ信頼できるユーザー・アカウントを作成します。
2. 「信頼できるユーザーへの権限の割当て」の説明に従って、オペレーティング・システムの一部として機能する特別な権限を信頼できるユーザーに付与します。
3. 「信頼できるユーザーのWebGateへのバインド」の説明に従って、信頼できるユーザーの認証資格証明を提供して、信頼できるユーザーをWebゲートにバインドします。
4. 「偽装レスポンスの認可ポリシーへの追加」の説明に従って、アプリケーション・ドメインで偽装のための認可成功アクションにIMPERSONATEという名前のヘッダー変数を追加します。
5. 「偽装DLLのIISへの追加」の説明に従って、IISImpersonationModule.dllをIIS構成に追加して、IISを構成します。
6. 「偽装のテスト」の説明に従って、偽装をテストします。

59.6.1 信頼できるユーザー・アカウントの作成

信頼できるユーザー・アカウントを作成できます。この特別なユーザーは、偽装以外には使用しないでください。

次の手順例では、Impersonatorを新規オブジェクト - ユーザーとして使用します。環境はユーザーによって異なります。

信頼できるユーザー・アカウントを作成するには::

1. SharePoint Serverインストールをホストしているコンピュータで次のステップを実行します。

   • Windows 2008: 「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に選択します。

2. 「Active Directoryユーザーとコンピュータ」ウィンドウで、左ペインのツリーで「ユーザー」を右クリックし、「新規作成」→「ユーザー」の順に選択します。
3. 「新規オブジェクト - ユーザー」というペインの1つ目の「名前」フィールドに、覚えやすい名前(Impersonatorなど)を入力します。
4. この同じ文字列を「ユーザー ログオン名」フィールドにコピーし、「次へ」をクリックします。
5. 次のパネルで、パスワードの選択と確認用の再入力を求められます。

ノート:

信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。

図59-1 Windowsの偽装のための信頼できるユーザー・アカウントの設定

「図59-1 Windowsの偽装のための信頼できるユーザー・アカウントの設定」の説明

59.6.2 信頼できるユーザーへの権限の割当て

オペレーティング・システムの一部として機能する権限を信頼できるユーザーに与える必要があります。

信頼できるユーザーに適切な権限を与えるには::

1. 使用中の環境で次のステップを実行します。

   • Windows 2008: 「スタート」→「プログラム」→「管理ツール」→「ローカル セキュリティ ポリシー」の順に選択します。

2. 左ペインのツリーで、「ローカル ポリシー」の横のプラス・アイコン(+)をクリックします。
3. 左ペインのツリーで「ユーザー権利の割り当て」をクリックします。
4. 右ペインで「オペレーティング システムの一部として機能」をダブルクリックします。
5. 「ユーザーまたはグループの追加」をクリックします。
6. 「ユーザーまたはグループの追加」パネルで、信頼できるユーザーのユーザー・ログオン名(この例ではSPPSImpersonator)をユーザー名とグループ名のテキスト入力ボックスに入力し、「OK」をクリックして変更を登録します。

図59-2 Windowsの偽装での信頼できるユーザーの権限の構成

「図59-2 Windowsの偽装での信頼できるユーザーの権限の構成」の説明

59.6.3 信頼できるユーザーのWebGateへのバインド

信頼できるユーザーの認証資格証明を指定して、Access Managerと通信する10g Webゲートに信頼できるユーザーをバインドする必要があります。

次の手順では、10g WebGateをAccess Managerにまだ登録していないことを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。

信頼できるユーザーをWebGateにバインドする手順

1. Oracle Access Managementコンソールに移動します。

   次に例を示します。

   http://hostname:port/oamconsole
   

   ここで、hostnameはOracle Access Managementコンソールをホストしているコンピュータの完全修飾DNS名、portはOAMサーバー用に構成されたリスニング・ポート、oamconsoleはOracle Access Managementコンソールです。

2. ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。

3. 「起動パッド」タブで、「クイック・スタート・ウィザード」セクションの「SSOエージェント登録」をクリックします。

4. エージェント・タイプとして「Webゲート」を選択し、「次」をクリックします。

5. バージョンを10gに設定し、必要な詳細(*が付いているもの)を入力して、このWebゲートを登録します。

6. 保護されているリソース・リスト: この表では、表14-9にあるように、このOAMエージェントで保護する個々のリソースのURLを入力します。

7. パブリック・リソース・リスト: この表では、表14-9にあるように、公開する(保護しない)個々のリソースのURLを入力します。

8. 「ポリシーの自動作成」: 新規ポリシーの作成をチェックします(または、クリアして別のWebGateと同じホスト識別子を使用してポリシーを共有します(表14-9))。

9. 「適用」をクリックして、登録を送信します。

10. 「確認」ウィンドウで、生成されたアーティファクトの場所を確認し、ウィンドウを閉じます。

11. ナビゲーション・ツリーで、「エージェント」ページを開きます。

12. SharePointの要件: Sharepointインパーソネータ・フィールドに信頼できるユーザー資格証明を入力し、「適用」をクリックします。

13. 次のようにアーティファクトをコピーします(またはWebGateをインストールしてからこれらのアーティファクトをコピーします)。

    1. Oracle Access Managementコンソールのホストで、更新されたOAMエージェントの構成ファイルObAccessClient.xml (およびすべての証明書アーティファクト)を検索します。次に例を示します。

       $DOMAIN_HOME/output/$Agent_Name/ObAccessClient.xml

    2. エージェントをホストしているコンピュータで、アーティファクトをコピーします。次に例を示します。

       • 10g Webゲート/AccessClient: $WebGate_install_dir/oblix/lib/
       • ObAccessClient.xml

    3. 「偽装レスポンスの認可ポリシーへの追加」に進みます。

59.6.4 偽装レスポンスの認可ポリシーへの追加

SharePointリソースを保護するアプリケーション・ドメインおよび基本ポリシーは、WebGateをAccess Managerに登録したときに作成されました。戻りタイプを「ヘッダー」として認可成功アクション(レスポンス)を追加し、名前をIMPERSONATEに設定し、レスポンス値を$user.userid (シングルドメインのActive Directoryインストールの場合は"samaccountname"、マルチドメインのActive Directoryフォレストの場合は"userPrincipalName")とする必要があります。

偽装レスポンスを認可ポリシーに追加するには::

1. コンソール・ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「起動パッド」タブで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
3. 目的のドメインを検索して、編集のために開きます。
4. 「認証ポリシー」タブをクリックし、目的のポリシーを編集のために開きます。

   "目的のドメイン"とは、偽装専用に作成したアプリケーション・ドメイン(Impersonationなど)のことです。"目的のポリシー"は、エージェント登録中に作成されたデフォルトのポリシーです。デフォルトでは、ユーザーが作成するまでポリシー・レスポンスは存在しません。

5. 「ポリシー」ページで「レスポンス」タブをクリックし、「追加」(+)ボタンをクリックして、次の操作を実行します。

   • 「タイプ」リストから「ヘッダー」を選択します。

   • 「名前」フィールドに、このレスポンスの一意の名前を入力します: IMPERSONATE

   • 「値」フィールドに、このレスポンスの値を入力します。例: $user.userid。

6. 「追加」をクリックして、2つ目のWebゲート・リクエスト(認可用)に使用されるレスポンスを保存します。

59.6.5 偽装DLLのIISへの追加

偽装DLLをIISに追加できます。

この統合のためにIIS Webサーバーを構成するには、すべてのサイト(中央管理およびWebサービスを含む)でIISImpersonationModule.dllを登録して構成します。

または、複数のWebサイトがあり、その一部がAccess Managerに統合されていて、残りが統合されていない場合、Access Managerに統合されてしるWebサイトに対してのみ偽装を有効にする必要があります。そのためには、統合が必要なサイトのみでネイティブ・モジュールを構成する必要があります。次を参照してください。

• IISに対するImpersonationModuleの構成および登録。

59.6.5.1 IISに対するImpersonationModuleの構成および登録

IISに対してImpersonationModuleを構成および登録できます。

IISに対してImpersonationModuleを構成して登録するには:

1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
2. IIS 7の左ペインで、ホスト名をクリックします。
3. 中央ペインで、「IIS」ヘッダーの下の「モジュール」をダブルクリックします。
4. 右ペインで「ネイティブ モジュールを構成」をクリックして「登録」をクリックします。
5. ウィンドウに、モジュール名(たとえば、Oracle偽装モジュール)を入力します。
6. 「パス」フィールドに、IISImpersonationModule.dllへのフルパスを入力します。

   デフォルトでは、パスは次のとおりです。

   WebGate_install_dir\access\oblix\apps\Webgate\bin\IISImpersonation
   

   ここで、WebGate_install_dirはWebGateインストールのディレクトリです。

   ノート:

   パスにスペースが存在する場合(たとえば、C:\Program Files\Oracle\...)文字列全体を二重引用符(" ")で囲みます。

7. 「OK」をクリックして、モジュールを登録します。
8. 新しく作成したモジュールの名前を確認し、「OK」をクリックして、各Webサイトにモジュールを適用します。

図59-3 偽装モジュールの登録

「図59-3 偽装モジュールの登録」の説明

59.6.5.2 Webサイトに対するサイト・レベルのネイティブ・モジュールの構成

Webサイトに対してサイト・レベルのネイティブ・モジュールを構成できます。

構成するには、次のようにします。

1. 「サイト」の左側にあるプラス・アイコン(+)をクリックします。
2. 偽装を有効にするサイトをクリックします。
3. 中央ペインで、「IIS」の下の「モジュール」をダブルクリックします。
4. 右ペインで「ネイティブ モジュールを構成」をクリックして、前に登録した偽装モジュールを選択します。
5. 「OK」をクリックします。
   
   図GUID-63267DAB-EC25-40E7-A0CE-B1349C5E7E1D-default.pngの説明
6. 次に進みます。

   • 偽装のテスト

   • SharePoint Serverの統合の完了

59.6.6 偽装のテスト

統合を完了する前に、テストして偽装が正しく機能していることを確認できます。

偽装をテストする方法は次のとおりです。

• SharePoint Serverの外部でのシングル・サインオンのテスト(「SharePoint Serverによって保護されていないIIS仮想サイトの作成」を参照)

• イベント・ビューアの使用(「イベント・ビューアを使用した偽装のテスト」を参照)

• Webページの使用(「Webページを使用した偽装のテスト」を参照)

• ネガティブ・テストの使用(「偽装のネガティブ・テスト」を参照)

関連項目:

偽装の構成が正しく機能することを確認した後に、「SharePoint Serverの統合の完了」を参照してください。

59.6.6.1 SharePoint Serverによって保護されていないIIS仮想サイトの作成

SharePoint Server外の偽装機能をテストするまたはシングル・サインオンをテストするには、SharePoint Serverによって保護されていないIIS仮想Webサイト上にターゲットWebページが必要です。

このような仮想Webサイトは、次のタスクを実行して作成します。

SharePoint Serverによって保護されていないIIS仮想サイトを作成するには:

1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します。
2. 左ペインにあるツリー上のローカル・コンピュータのアイコンの左側のプラス・アイコン(+)をクリックします。
3. 左ペインにあるツリー上のWebサイトを右クリックして、メニューの「新規作成」、「Webサイト」に移動します。
4. 「Webサイト作成」ウィザードでプロンプトに応答します。
5. 仮想サイトを作成した後、これをアプリケーション・ドメインのポリシーで保護する必要があります。

59.6.6.2 イベント・ビューアを使用した偽装のテスト

Windows 2003イベント・ビューアを使用して偽装のテストを実行する場合、実際のテストを実行する前にイベント・ビューアを構成する必要があります。

イベント・ビューアを使用して偽装をテストするには::

1. 「スタート」メニュー→「イベント ビューア」の順に選択します。
2. 左ペインで「セキュリティ」を右クリックし、「プロパティ」をクリックします。
3. 「セキュリティ」プロパティ・シートで「フィルタ」タブをクリックします。
4. すべての「イベントの種類」にチェックが付いていることおよび「イベント ソース」と「分類」の各リストが「すべて」に設定されていることを確認し、「OK」をクリックして「プロパティ」シートを閉じます。

   イベント・ビューアは、リソース・リクエストに関連付けられたHeaderVarに関する情報が表示されるように構成されました。

   図59-4 イベント・ビューアの設定の確認

   
   「図59-4 イベント・ビューアの設定の確認」の説明
5. 新規IIS仮想サーバー(仮想サイト)を作成します。
6. 仮想サイト上のツリーのどこかにターゲットWebページを配置します。
7. Webページでブラウザを指します。

偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。

59.6.6.3 Webページを使用した偽装のテスト

リクエストに関する情報を返し、表示できる.aspページやPerlスクリプトなどの動的テスト・ページを使用して偽装をテストすることも可能です。

サーバー変数を表示するWebページを使用して偽装をテストするには:

1. パラメータAUTH_USERおよびIMPERSONATEを表示する.aspページまたはPerlスクリプトを作成します。これは、次のリストに示すサンプル・ページに似せることができます。

   サンプルの.ASPページ・コード:

   <TABLE border=1>
          <TR>
                <TD>Variable</TD>
                <TD>&nbsp&nbsp</TD>
                <TD>Value</TD></TR>
          <%for each servervar in request.servervariables%>
          <TR>
                <TD><%=servervar%></TD>   
                <TD>&nbsp&nbsp</TD>
                <TD><%=request.servervariables(servervar)%>&nbsp</TD>
          </TR>
   

2. IIS仮想サイトを作成するかまたは前のタスクで作成したものを使用します。
3. 新規仮想サイトのツリーのどこかに.aspページまたはPerlスクリプト(前のリストのサンプルなど)を配置します。
4. ブラウザで表示するページを指定し、要求を発行するユーザーの名前にAUTH_USERとIMPERSONATEの両方を設定します。

59.6.6.4 偽装のネガティブ・テスト

偽装のネガティブ・テストを実行するには、信頼できるユーザーをWebゲートからアンバインドする必要があります。

信頼できるユーザーをWebGateからアンバインドするには::

1. Oracle Access Managementコンソールで、Webゲートを探します。
2. 必要なWebGate登録ページを開いて、信頼できるユーザーの資格証明を削除します。
3. 「適用」をクリックして変更を保存します。
4. ブラウザ・ウィンドウでIISサーバーを再起動し、保護されているコード・ページ(信頼できるユーザーが以前アクセスできたページ)に移動します。
5. ページが表示されるというメッセージを受信することを確認します。AUTH_USERとIMPERSONATEの値は、偽装資格証明をWebGateにバインドするために必要です。
6. 信頼できるユーザーをWebGate登録ページにリストアします。