30.2 Access Manager 11g用の10g OAMエージェントの概要

次の各トピックでは、概要を説明します。

30.2.1 IAMSuiteAgentについて: Access Managerに登録された事前構成済10g Webゲート

IAMSuiteAgentは、Access Manager 11.1.2に事前登録済のJavaエージェント・フィルタです。このエージェントと付属アプリケーション・ドメインは、Access Managerによる事前構成済でインストールされます。

IAMSuiteAgentは、ドメイン全体のエージェントです。

Access Managerがデプロイされると、ドメイン内の各サーバーにIAMSuiteAgentがインストールされます。
無効にしないかぎり、WebLogicアプリケーション・サーバーに入ってくるすべてのリクエストは、IAMSuiteAgentによって評価および処理されます。
特定のIAMSuiteAgent構成の要素はWebLogic管理コンソール(「セキュリティ・プロバイダ」セクション)で、その他の要素はOracle Access Managementコンソールで使用可能です。

IAMSuiteAgentおよび関連ポリシーは、IDM管理コンソール、Oracle Identityコンソール、Oracle Access Managementコンソール、およびアイデンティティ管理ドメインの特定リソースに対するSSO保護を実現します。

IAMSuiteAgentを10g Webゲートに置き換えると、Oracle Identity Managementコンソールと、アイデンティティ管理ドメイン内のリソース(選択した場合)を保護できます。

「IAMSuiteAgentの集中ログアウト構成」を参照してください。

「IAMSuiteAgentの11g Webゲートによる置換」を参照してください。

「バンドルされる10g IAMSuiteAgentアーティファクト」を参照してください。

30.2.2 レガシーOracle Access Manager 10gデプロイメントとWebゲートについて

11g OAMサーバーは、Access Manager 11.1.2で操作するように登録されている10g Webゲートをサポートします。

次のようなWebゲートが含まれます。

Oracle Access Manager 10gで現在稼働中のレガシー10g Webゲート。
SSO用のIDアサーション・プロバイダ(IAP)として構成されたレガシー10g Webゲート(Oracle Access Manager 10gによるIAP WebLogicコンテナベースのセキュリティを使用するアプリケーション用。『Oracle Platform Security Servicesによるアプリケーションの保護』を参照)。
Oracle ADFセキュリティとOPSS SSOフレームワーク用にコードが記述されたWebアプリケーションで現在操作しているレガシー10g Webゲート。

Oracle Access Managementコンソールまたはリモート登録ツールを使用して、Access Manager SSOを使用するように、これらのエージェントを登録できます。登録後は、10g Webゲートはブリッジとして機能するJavaベースのOAMプロキシを使用して、Access Managerと直接通信できます。

表1-2を参照してください。

「Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用したAccess ManagerとWebアプリケーションの統合」を参照してください。

次の各トピックでは、Access Managerと連動するように既存の10g Webゲートを設定するために実行する必要があるタスクを概説します。

タスクの概要: レガシー10g WebゲートをAccess Managerで使用できるようにする設定:

Access Manager 11gを使用した10g Webゲートのリモート登録
11g OAMサーバー使用時の10g Webゲートの集中ログアウト構成
オプション: WebLogicコンテナへのアプリケーションのデプロイメント

『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

30.2.3 Access Manager 11.1.2で使用する新しい10g Webゲートのインストールについて

新しい10g WebゲートをインストールしてAccess Manager 11gで使用できます。10g Webゲートは、多くのWebサーバー・プラットフォームで使用可能です。

インストールおよび登録の後で、10g Webゲートはブリッジとして機能するJavaベースのOAMプロキシを使用して、Access Managerと直接通信できます。

ノート:

Access Manager用に新規10g Webゲートをインストールする場合、最新のWebゲートを使用することをお薦めします。また、フェイルオーバーやロード・バランシング用に、複数のWebGateをインストールすることをお薦めしています。

Access Manager 11gデプロイメントで動作させるための10g Webゲートのインストールと、Oracle Access Manager 10gデプロイメントへの10g Webゲートのインストールにはいくつかの違いがあります。

表30-1に違いをまとめます。

表30-1 10g Webゲートのインストールの比較

11gデプロイメントへの10g Webゲート	10gデプロイメントへの10g Webゲート
パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。プロビジョニング: インストール前に、Access Manager 11gでWebゲートをプロビジョニングします。「Access Manager 11gを使用した10g Webゲートのリモート登録」を参照してください。 OAMサーバーとの関連付け: WebGateの登録中に実施(手順2)。インストール: アプリケーションの前(またはFusion Middlewareの場合は、WebLogicサーバーの前)に10g WebGateをインストールします。言語パック: Access Managerは10g Webゲートの言語パックをサポートしています。 Webサーバー構成: Access Managerで生成されたファイルを、Webゲートのインストール・ディレクトリ・パスにコピーして、Webサーバーの構成を更新します。証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーします。フォーム: 10g Webゲートで提供されている10gフォームは、11g OAMサーバーでは使用できません。 11g OAMサーバーでの10g Webゲートの使用方法や範囲は、リソースWebゲート(認証用Webゲートではなく、リダイレクトを行う側)と同様です。10g Webゲートと11g OAMサーバーを使用する場合、10g Webゲートは常に認証用Webゲートとして機能する11g資格証明コレクタにリダイレクトされます。シングル・ログアウト: 情報を使用して構成します。「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。マルチドメイン・サポート: Access Manager 11には適用されません。	パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。プロビジョニング: インストール前に、アクセス・システム・コンソールでWebGateインスタンスを作成します。 AAAとの関連付け: インストール前に、アクセス・システム・コンソールで、WebGateをアクセス・サーバーに関連付けます。インストール: 10g WebGateパッケージを使用。言語パック: WebGateのインストール中(または後で)10g WebGateの言語パックをインストールできます。 Webサーバーの構成: WebGateのインストール中に自動的に行われます(またはWebGateのインストール後に手動でも可能)。証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーしました。フォーム: 10gデプロイメント用に提供されていました。 Oracle Access Manager 10gの集中ログアウト。マルチドメイン・サポート: Oracle Access Manager 10g用に構成可能。

11gデプロイメントへの10g Webゲート

10gデプロイメントへの10g Webゲート

パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。
プロビジョニング: インストール前に、Access Manager 11gでWebゲートをプロビジョニングします。

「Access Manager 11gを使用した10g Webゲートのリモート登録」を参照してください。
OAMサーバーとの関連付け: WebGateの登録中に実施(手順2)。
インストール: アプリケーションの前(またはFusion Middlewareの場合は、WebLogicサーバーの前)に10g WebGateをインストールします。
言語パック: Access Managerは10g Webゲートの言語パックをサポートしています。
Webサーバー構成: Access Managerで生成されたファイルを、Webゲートのインストール・ディレクトリ・パスにコピーして、Webサーバーの構成を更新します。
証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーします。
フォーム: 10g Webゲートで提供されている10gフォームは、11g OAMサーバーでは使用できません。

11g OAMサーバーでの10g Webゲートの使用方法や範囲は、リソースWebゲート(認証用Webゲートではなく、リダイレクトを行う側)と同様です。10g Webゲートと11g OAMサーバーを使用する場合、10g Webゲートは常に認証用Webゲートとして機能する11g資格証明コレクタにリダイレクトされます。
シングル・ログアウト: 情報を使用して構成します。

「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。
マルチドメイン・サポート: Access Manager 11には適用されません。

パッケージ: 10g Webゲートのインストール用パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアにあります。
プロビジョニング: インストール前に、アクセス・システム・コンソールでWebGateインスタンスを作成します。
AAAとの関連付け: インストール前に、アクセス・システム・コンソールで、WebGateをアクセス・サーバーに関連付けます。
インストール: 10g WebGateパッケージを使用。
言語パック: WebGateのインストール中(または後で)10g WebGateの言語パックをインストールできます。
Webサーバーの構成: WebGateのインストール中に自動的に行われます(またはWebGateのインストール後に手動でも可能)。
証明書のインストール: WebGateのインストール・ディレクトリ・パスにファイルをコピーしました。
フォーム: 10gデプロイメント用に提供されていました。
Oracle Access Manager 10gの集中ログアウト。
マルチドメイン・サポート: Oracle Access Manager 10g用に構成可能。

次の概要では、Access Manager 11g用の10g Webゲートのインストールおよび登録タスクについて詳細に説明しているトピックを示します。

30.2.3.1 タスクの概要: Access Manager 11g用の10g Webゲートの登録とインストール

Access Manager 11gと正しく連動するように、次の手順をすべて完了する必要があります。

10g Webゲートの登録:
「Access Manager 11gで使用する10g Webゲートの検索とダウンロード」を参照してください。
「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」を参照してください。
オプション: WebLogicコンテナへのアプリケーションのデプロイメント

『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

30.2.4 10g OAMエージェントと11g OAMサーバー使用時の集中ログアウトについて

登録された10g Webゲートに対して構成されたlogout.htmlファイルがアプリケーションによって起動されると、ログアウトが開始されます。

一般的に、10g Webゲート使用時の集中ログアウトの際には、SSOエンジンがユーザー・セッションの有無を問う要求を受け取ります。セッション管理エンジンはセッションを参照し、セッションが存在するという応答をします。SSOエンジンはセッション削除要求を送信します。セッション管理エンジンはトークンとセッション・コンテキストをクリアします。SSOエンジンはセッション削除完了レスポンスを送信します。

ユーザー・トークンとセッション・コンテキストをクリアするとサーバー側の状態がクリアされますが、これにはサーバー側に設定されたOAM_ID Cookieをクリアすることが含まれます。エージェントに通知が行われると、エージェントはアプリケーションのクライアント側状態をクリアします。詳細は、「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」を参照してください。