24.9 IPFUserPasswordPolicyPluginの構成

アイデンティティ・パスワード・フレームワーク(IPF)パスワード・ポリシー・プラグインでは、ログイン中にパスワード関連のフローを処理します。IPFパスワード・ポリシー・プラグインの構成は、OAMおよびOIM LDAPアプリケーションが連携して動作することを確認するために最も重要なステップです。

OAMでIPFパスワード・プラグインを使用すると、パスワード機能がOAMとOIMの両方で同じように機能できます。この項の内容は次のとおりです。

• IPFパスワード・サービスの有効化

• IPFパスワード・サービスのパスワード・ポリシーの構成

• LDAP定義の拡張

• パスワード・ポリシー検証認証モジュールおよびスキームの構成

• 「パスワードを忘れた場合」モジュールの設定

24.9.1 IPFパスワード・サービスの有効化

IPFパスワード・サービスは、oam-config.xmlを手動で編集することで、(アップグレードではなく)新しくインストールした環境で有効にできます。

oam-config.xmlを編集し、次の行を追加します。

<Setting Name="pswdServiceDataVersion" Type="xsd:string">3</Setting>

この手順では、次のことを前提としています。

• WebLogic Server、Oracle Internet Directory、Oracle HTTP Serverおよびデータベースがインストールされている。

• Oracle Access ManagementがDBモードでインストールされ、OIDをユーザー・ストアとして使用するように構成されている。

• Webゲート11gがインストールされ、ポリシー・サーバーに対して構成されている。

• ディレクトリ・タイプごとに、LDAPディレクトリを拡張する適切なメカニズムがある。

1. WebLogic管理サーバーおよびすべてのOAM管理対象サーバーを含むドメイン全体をシャットダウンします。
2. <DOMAIN_HOME>/config/fmwconfig/で正しいoam-config.xmlファイルを見つけ、編集する前にバックアップを作成します。
3. 次のスニペットが含まれるようにファイルを変更します。

   <Setting Name="PasswordService" Type="htf:map">
    <Setting Name="pswdServiceDataVersion" Type="xsd:string">3</Setting>               
    <Setting Name="pswdServiceUrl" Type="xsd:string">/oam/pages/pswd.jsp</Setting>
   </Setting>
   

   ファイルのバージョン番号を1つずつ増分し、Oracle Access Managementコンソールによって変更が上書きされないようにします。

4. ファイルを保存します。
5. WebLogic管理サーバーを再起動します。
6. OAM管理対象サーバーを再起動します。

検証ステップとして、各OAM管理対象サーバー・ノードの<DOMAIN_HOME>/config/fmwconfig/oam-config.xmlをチェックし、更新されたバージョンが正しく伝搬されていることを確認します。

24.9.2 IPFパスワード・サービスのパスワード・ポリシーの構成

両方の製品間で一貫して動作するように、OAMのパスワード・ポリシーをOAM LDAPのパスワード・ポリシーと同期する必要があります。

詳細は、「「パスワード・ポリシー」構成ページへのアクセス」を参照してください。管理者は、ポリシーが実際に同じで一致していることを確認する必要があります。

24.9.3 LDAP定義の拡張

ディレクトリのタイプに応じて、LDAPディレクトリでこれらを使用してユーザー・オブジェクトクラスを拡張できるように、必要なオブジェクトクラス・スキーマ定義を追加します。適切なスキーマ・ファイルは、$IDM_HOME/modules/oracle.idm.ipf_11.1.2/scripts/ldapにあります。

表24-9に、サポートされているLDAPディレクトリで使用するためのLDIFファイルを示します。

表24-9 含まれるLDIFスキーマ・ファイル

LDAPディレクトリ	LDIFスキーマ・ファイル
OID	OID_OblixSchema.ldif、OID_OracleSchema.ldif
AD	AD_OblixSchema.ldif、AD_OracleSchema.ldif
OUD	OUD_OblixSchema.ldif、OUD_OracleSchema.ldif
ODSEE	IPLANET_OblixSchema.ldif、IPLANET_OracleSchema.ldif
OPENLDAP	OLDAP_OblixSchema.schema、OLDAP_OracleSchema.schema
OVD	OVD_OblixSchema.ldif、OVD_OracleSchema.ldif
Tivoli	TIVOLI_OblixSchema.ldif、TIVOLI_OracleSchema.ldif
EDIR	EDIR_OblixSchema.ldif、EDIR_OracleSchema.ldif

24.9.4 パスワード・ポリシー検証認証モジュールおよびスキームの構成

インストール要件に従って、必要なアイデンティティ・ストアおよび一部の操作の構成を使用するように、パスワード・ポリシー検証認証モジュールを構成する必要があります。

認証用のパスワード・ポリシー検証モジュールを定義するときには、資格証明コレクタの依存性はありません。ユーザー・パスワードのステータス・ステップは、IPFUserPasswordPolicyPluginに基づく一意のステップです。「パスワード・ポリシー検証認証モジュール」および「PasswordPolicyValidationSchemeの構成」を参照してください

24.9.5 「パスワードを忘れた場合」モジュールの設定

パスワードを忘れた場合の機能をOAMで有効にする必要がある場合は、IPFForgotPasswordModuleが使用されます。パスワードを忘れた場合の認証により、OAMユーザーは、前に収集したチャレンジを使用して自身を認証することで、パスワードを変更できます。

管理者は、「「パスワードを忘れた場合」のURLの管理」に説明されている手順に従い、「パスワードを忘れた場合」のURLを設定できます。