Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Active Directory以外のディレクトリ・サーバーを使用する場合、LDAPメンバーシップ・プロバイダを使用してください。OAMCustomMembershipプロバイダは、LDAPメンバーシップ・プロバイダの機能を利用します。
この項では、SharePoint Serverの統合または他のアプリケーションによる使用のための偽装の設定について説明します。
ノート:
LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint Serverと統合している場合、この項をスキップしてください。Windowsの偽装はLDAPメンバーシップ・プロバイダでは使用されません。
タスクの概要: 偽装の設定
IISImpersonationModule.dll
をIIS構成に追加して、IISを構成します。信頼できるユーザー・アカウントを作成できます。この特別なユーザーは、偽装以外には使用しないでください。
次の手順例では、Impersonatorを新規オブジェクト - ユーザーとして使用します。環境はユーザーによって異なります。
信頼できるユーザー・アカウントを作成するには::
ノート:
信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。
信頼できるユーザーの認証資格証明を指定して、Access Managerと通信する10g Webゲートに信頼できるユーザーをバインドする必要があります。
次の手順では、10g WebGateをAccess Managerにまだ登録していないことを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。
信頼できるユーザーをWebGateにバインドする手順
Oracle Access Managementコンソールに移動します。
次に例を示します。
http://hostname:port/oamconsole
ここで、hostnameはOracle Access Managementコンソールをホストしているコンピュータの完全修飾DNS名、portはOAMサーバー用に構成されたリスニング・ポート、oamconsoleはOracle Access Managementコンソールです。
ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「起動パッド」タブで、「クイック・スタート・ウィザード」セクションの「SSOエージェント登録」をクリックします。
エージェント・タイプとして「Webゲート」を選択し、「次」をクリックします。
バージョンを10gに設定し、必要な詳細(*が付いているもの)を入力して、このWebゲートを登録します。
保護されているリソース・リスト: この表では、表14-9にあるように、このOAMエージェントで保護する個々のリソースのURLを入力します。
パブリック・リソース・リスト: この表では、表14-9にあるように、公開する(保護しない)個々のリソースのURLを入力します。
「ポリシーの自動作成」: 新規ポリシーの作成をチェックします(または、クリアして別のWebGateと同じホスト識別子を使用してポリシーを共有します(表14-9))。
「適用」をクリックして、登録を送信します。
「確認」ウィンドウで、生成されたアーティファクトの場所を確認し、ウィンドウを閉じます。
ナビゲーション・ツリーで、「エージェント」ページを開きます。
SharePointの要件: Sharepointインパーソネータ・フィールドに信頼できるユーザー資格証明を入力し、「適用」をクリックします。
次のようにアーティファクトをコピーします(またはWebGateをインストールしてからこれらのアーティファクトをコピーします)。
Oracle Access Managementコンソールのホストで、更新されたOAMエージェントの構成ファイルObAccessClient.xml (およびすべての証明書アーティファクト)を検索します。次に例を示します。
$DOMAIN_HOME/output/$Agent_Name/ObAccessClient.xml
エージェントをホストしているコンピュータで、アーティファクトをコピーします。次に例を示します。
「偽装レスポンスの認可ポリシーへの追加」に進みます。
IMPERSONATE
に設定し、レスポンス値を$user.userid (シングルドメインのActive Directoryインストールの場合は"samaccountname"、マルチドメインのActive Directoryフォレストの場合は"userPrincipalName")とする必要があります。
偽装レスポンスを認可ポリシーに追加するには::
偽装DLLをIISに追加できます。
この統合のためにIIS Webサーバーを構成するには、すべてのサイト(中央管理およびWebサービスを含む)でIISImpersonationModule.dllを登録して構成します。
または、複数のWebサイトがあり、その一部がAccess Managerに統合されていて、残りが統合されていない場合、Access Managerに統合されてしるWebサイトに対してのみ偽装を有効にする必要があります。そのためには、統合が必要なサイトのみでネイティブ・モジュールを構成する必要があります。次を参照してください。
IISに対してImpersonationModuleを構成および登録できます。
IISに対してImpersonationModuleを構成して登録するには:
統合を完了する前に、テストして偽装が正しく機能していることを確認できます。
偽装をテストする方法は次のとおりです。
SharePoint Serverの外部でのシングル・サインオンのテスト(「SharePoint Serverによって保護されていないIIS仮想サイトの作成」を参照)
イベント・ビューアの使用(「イベント・ビューアを使用した偽装のテスト」を参照)
Webページの使用(「Webページを使用した偽装のテスト」を参照)
ネガティブ・テストの使用(「偽装のネガティブ・テスト」を参照)
関連項目:
偽装の構成が正しく機能することを確認した後に、「SharePoint Serverの統合の完了」を参照してください。
SharePoint Server外の偽装機能をテストするまたはシングル・サインオンをテストするには、SharePoint Serverによって保護されていないIIS仮想Webサイト上にターゲットWebページが必要です。
このような仮想Webサイトは、次のタスクを実行して作成します。
SharePoint Serverによって保護されていないIIS仮想サイトを作成するには:
Windows 2003イベント・ビューアを使用して偽装のテストを実行する場合、実際のテストを実行する前にイベント・ビューアを構成する必要があります。
イベント・ビューアを使用して偽装をテストするには::
偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。
リクエストに関する情報を返し、表示できる.aspページやPerlスクリプトなどの動的テスト・ページを使用して偽装をテストすることも可能です。
サーバー変数を表示するWebページを使用して偽装をテストするには:
偽装のネガティブ・テストを実行するには、信頼できるユーザーをWebゲートからアンバインドする必要があります。
信頼できるユーザーをWebGateからアンバインドするには::