Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
ISAPIは、IIS Webサーバーと通信するWebGateのためのインターネットWebサーバーの拡張機能です。
たとえば、IISに対応するWebゲートをインストールするには、次のパッケージが必要です。
Oracle_Access_Manager10_1_4_3_0_Win32_ISAPI_Webgate
64ビットWebgate: Oracle_Access_Manager10_1_4_3_0_Win64_ISAPI_Webgate.exe
Webgateをインストールするときは、IIS Webサーバーの構成ファイルを更新する必要があります。IIS Webサーバー使用時の構成の更新には、ISAPIフィルタを追加してAccess Managerに必要な拡張機能を作成することにより、直接Webサーバーを更新することが含まれます。フィルタは、そのフィルタがインストールされたサイトへのリクエストをすべてリッスンします。フィルタは、IISの機能を強化するために、受信データ・ストリームと送信データ・ストリームの両方を調べて変更できます。ISAPI拡張機能は、IISにより制御されるプロセスへロードされるDLLとして実装されます。ASPやHTMLのページと同様に、IISでは、ファイル・システム内でDLLファイルの仮想的な場所が使用され、IIS提供のURLネームスペースにISAPI拡張機能がマップされます。
IIS Webサーバー構成ファイルは、Webgateのインストール中に自動的に更新することをお薦めします。自動更新には数分以上かかることがあります。一方、IIS Webサーバー構成ファイルの手動更新は自動更新より時間がかかり、意図しないエラーが発生する場合があります。
詳細なガイドラインは、次を参照してください。
WebGateの一般的な準備とインストールの詳細が、ISAPI WebGateに適用されます。加えて、ここでは、IIS Webサーバーに対してインストールされるISAPI WebGate固有のガイドラインを説明します。
1つのIIS Webサーバーに対して複数のWebGateをインストールしたり、64ビットのWebGateを使用したりできます。
ノート:
特に明記しないかぎり、詳細は32ビットと64ビットのWebgateに同様に適用されます。
ロックダウン・モード: WebGateをインストールする前に、IIS Webサーバーがロックダウン・モードではないことを確認します。ロックダウン・モードの場合は、正常に作動しているように見えても、サーバーがリブートされてメタベースが再初期化されると、IISがロックダウン後に発生したアクティビティを無視するようになります。
権限: IIS Webgateのために/accessディレクトリに関する様々な権限の設定が必要になるのは、NTFSをサポートするファイル・システムにインストールしている場合のみです。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイルシステム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、これらの指示を無視できます。
仮想ホスト: 各IIS仮想Webサーバーには、独自のWebgate.dllファイルを仮想レベルでインストールするか、全サイトに影響を与える1つのWebgateをサイト・レベルでインストールできます。Webgate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、Webgate.dllを1つまたはすべての仮想ホストに対してインストールします。
postgate.dll: また、場合によってはコンピュータ・レベルにpostgate.dllファイルをインストールする必要もあります。「ポストゲートISAPIフィルタのインストール」で説明しているように、postgate.dllは\Webgate_install_dirにあります。複数のインストールを実行すると、このファイルのバージョンが複数作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを確認してください。
ノート:
postgate.dllは常にサイト・レベルでインストールされます。なんらかの理由でWebgateを再インストールすると、postgate.dllも再インストールされます。この場合、サイト・レベルにはpostgate.dllが1つだけ存在するようにしてください。
Webゲート用のWebサーバー構成の更新: 他のWebゲートの場合と同じく、WebサーバーがWebゲートと連動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、自動更新を拒否し、かわりにWebサーバーを手動で構成することもできます。
「Access Manager 11gを使用した10g Webゲートのリモート登録」を参照してください。
FAT32ファイル・システム: Webgateのインストール中に実行する必要がある特別な指示を受け取る場合があります。たとえば、NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS Webgate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイルシステム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、これらの指示は無視してください。
SSLおよびクライアント証明書認証: IISでクライアント証明書認証を使用している場合は、Webgateに対してクライアント証明書を有効にする前に、WebgateをホストするIIS WebサーバーでSSLを有効にする必要があります。また、様々なフィルタが特定の順序でインストールされていることも確認する必要があります。また、場合によってはISAPIフィルタとしてpostgate.dllをインストールする必要もあります。
Webサーバーのリリース: この章のWebサーバーの詳細は、記載のリリースに適用されます。リリースが示されない場合は、IIS v5とみなすことができます。IIS v6またはIIS v7固有の詳細はリリースが明記されます。
32ビットおよび64ビットのWebgate: 特に明記しないかぎり、すべての情報は32ビットと64ビットのWebgateに同様に適用されます。
Webgateの一般的な準備とインストールの詳細: IIS固有のガイドラインはこの章を参照してください。一般的な準備とインストールの詳細は、「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。
Webgateインストールの完了と確認: ISAPI WebgateとIISのバージョンに対応するタスクを実行します。
通常、一般的なガイドラインとWebゲートのインストール方法は、WebゲートをインストールするIISのリリースに関係なく同じです。
ただし、IIS v7に対して1つ以上のWebゲートをインストールする前に、確認する必要があるトピックがいくつかあります。
通常、一般的なガイドラインとWebゲートのインストール方法は、WebゲートをインストールするIISのリリースに関係なく同じです。
ただし、いくつかの点に注意してください。
1つのIIS 6インスタンスに対する複数のWebgate: IIS v6.0では、複数のWebサイトを1つのWebサーバー・インスタンスでホストすることがサポートされており、ISAPI Webgateを使用すると、異なるWebgateを使用する各Webサイトを保護できます。
64ビットIIS v6 Webgate: 「Access Manager 11gを使用する10g Webゲートの登録および管理」の手順を使用して、他のすべての場合のようにインストールを実行します。Webgateのインストール中にWebサーバーの手動構成を選択した場合は、次のパスで詳細を入手できます。
Webgate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm
WebゲートのインストールとIISの構成の後で、「64ビットWebgateインストールの終了」のタスクを実行します。
Webゲートの以前のリリースのインストール: これまで、ポリシー・マネージャと同じ物理ディレクトリの場所にWebゲートをインストールするようお薦めしていました。これには、ポリシー・マネージャとWebゲートに対して「access」という名前の仮想ディレクトリ(ポリシー・マネージャとWebゲートの物理的な場所へマップ)が必要でした。
ノート:
IIS対応のWebgate 10g (10.1.4.3)は、ポリシー・マネージャの場所とは別の任意の場所にインストールできます。
以前のWebゲートとポリシー・マネージャの組合せがインストールされている場合、コンポーネントを分離することができます。
以前のWebgate/ポリシー・マネージャを分離するには、次のようにします。
特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。
IIS v6.0では、複数のWebサイトを1つのWebサーバーでホストすることがサポートされており、ISAPI Webgateを使用すると、異なるWebgateを使用する各Webサイトを保護できます。
ノート:
ISAPI Webgateの以前のリリースでは、1つのIIS Webサーバー・インスタンスに対する複数のWebgateはサポートされていませんでした。上位レベルのすべてのWebサイトに1つのWebgateをインストールするか、Webサイト・レベルでWebgateを構成して1つのWebサイトを保護する必要がありました。
IIS 6では、仮想サーバーの実行に使用されるアプリケーション・プールが提供されます。アプリケーション・プールは、ワーカー・プロセスまたはワーカー・プロセスのセットによって処理される1つ以上のURLのグループと考えることができます。アプリケーション・プールは、1つ以上のアプリケーションが1つ以上のワーカー・プロセスのセットにリンクされる構成です。アプリケーション・プールにあるアプリケーションは、ワーカー・プロセスの境界によって他のアプリケーションと切り離されるため、あるアプリケーション・プールのアプリケーションで問題が発生しても、他のアプリケーション・プールのアプリケーションには影響しません。現在、Webgateの各インスタンスは個別のプロセス領域で実行できます。
1つのIIS v6.0 Webサーバー・インスタンス上に複数のWebサイトがある場合、ユーザーのリクエストが正しいWebサイトに到達する必要があります。このためには、次に示す一意の識別子のうち少なくとも1つを使用して、サーバー上の各サイトに一意のアイデンティティを構成する必要があります。
ホスト・ヘッダー名
IPアドレス
TCPポート番号
ノート:
1つのサーバー上に複数のWebサイトがあり、これらをIPアドレスとポートで識別する場合、複数のWebgateは必要ありません。10.1.4.2.0のリリースから、ApacheおよびIIS 6.0上で仮想ホストが使用できるようになりました。このため、上位レベルにWebgateが1つあれば、IPアドレスが異なっていてもすべてのWebサイトを保護できます。これは、Webサイトごとに異なるホスト識別子を使用して処理されます。
同じIIS Webサーバー・インスタンスの各Webサイトに対してそれぞれWebgateをインストールできます。ただし、手動でいくつかのステップを行う必要があります。