15.6 リモート登録ツール、モードおよびプロセス

エージェントの登録にコンソールを使用する以外の方法として、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。

Oracle Access Managementコンソールまたはリモート登録ユーティリティを使用する管理者は、システム・ストアに資格証明を格納しておく必要があります(「データ・ソースの管理」)。

この項では、リモート登録について詳細に説明します。この項の内容は、次のとおりです。

15.6.1 リモート登録コマンドの引数とモード

リモート登録ツールを使用する前に、OAM_REG_HOMEとJAVA_HOMEの2つの環境変数をスクリプト内で設定する必要があります。

表15-5に、ツールの場所はLinuxシステムの$OAM_REG_HOMEと想定したサンプルを示します。環境によっては異なることがあります。

表15-5 oamreg内で設定する環境変数

環境変数	説明
OAM_REG_HOME	後に/rregが付けられるRREG.tarが展開されたディレクトリ。 $OAM_HOME/oam/server/rreg/client/rreg
JAVA_HOME	Javaがクライアント・コンピュータに格納されているロケーション。たとえば、$WLS_HOME/Middleware/jdk160_11などです。ノート: $JAVA_HOMEはJDK 1.6を参照する必要があります。(JDK 1.7もR2PS3で使用できます。)

環境変数

説明

OAM_REG_HOME

後に/rregが付けられるRREG.tarが展開されたディレクトリ。

$OAM_HOME/oam/server/rreg/client/rreg

JAVA_HOME

Javaがクライアント・コンピュータに格納されているロケーション。たとえば、$WLS_HOME/Middleware/jdk160_11などです。

ノート: $JAVA_HOMEはJDK 1.6を参照する必要があります。(JDK 1.7もR2PS3で使用できます。)

さらに、リモート登録ツールを使用する前に、リクエスト・ファイル内の複数のタグを変更する必要があります(表15-9を参照)。

表15-6に、リモート登録スクリプトの実行に必要な引数を示します。

表15-6 リモート登録コマンドの引数: モード

引数説明

引数	説明
mode	次のいずれかです。 `inband` `outofband`
input/`filename.xml`	入力ファイル(*request.xmlまたはagentName_Response.xml)への絶対パス、または$OAM_REG_HOMEの値に対する相対パス。推奨される場所は、$OAM_REG_HOME/inputです。

mode

次のいずれかです。

inband
outofband

input/filename.xml

入力ファイル(*request.xmlまたはagentName_Response.xml)への絶対パス、または$OAM_REG_HOMEの値に対する相対パス。

推奨される場所は、$OAM_REG_HOME/inputです。

表15-7に示すサンプル・コマンドでは、ツールの場所をLinuxシステムの$OAM_REG_HOMEと想定しています。

表15-7 リモート登録コマンドのサンプル

コマンド・タイプ	サンプル(Linux)
帯域内の管理者の帯域内リクエスト	./bin/oamreg.sh inband input/*Request.xml
帯域内の管理者によって送信されたリクエスト	./bin/oamreg.sh outofband input/starting_request.xml
帯域外の管理者の戻されたレスポンス	`./bin/oamreg.sh outofband input/agentName_Response.xml`
[prompt_flag] value: [-noprompt]	オプション。-nopromptを使用すると、oamregはプロンプト(パスワードなど)を待ちません。かわりに、これらの値は入力ファイルから、またはechoコマンドを使用してコマンド行自体から取得されます。 $OAM_REG_HOMEロケーションからの例 (echo username; echo password; echo WebGate_password;) \| ./bin/oamreg.sh inband input/Request.xml -noprompt config.file (echo username; echo password; echo WebGate_password; echo httpscert_trust_prompt;) \| ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo WebGate_password; echo cert_password;) \| ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo WebGate_password; echo httpscert_trust_prompt; echo cert_password;) \| ./bin/oamreg.sh inband input/Request.xml -noprompt 関連項目: 「エージェントのリモート更新」

ノート:

スクリプトの起動後、管理者はユーザー名およびパスワードを求められます(表15-7で説明した-nopromptを使用する場合を除く)。

スクリプトの実行後、成功または失敗のメッセージが通知されます。登録または更新が成功したら、「エージェント構成ファイルの更新」の説明に従って、アーティファクトをエージェント・ホストにコピーする必要があります。

15.6.2 リモート登録リクエスト・テンプレート内の共通要素

エージェント・タイプに関係なく、グローバル要素はすべてのリモート登録リクエスト・ファイル内で共通します。

表15-8に、グローバル要素を示します。

ノート:

表15-8では、各要素の説明を省略しています(表15-1を参照)。

表15-8 リモート登録リクエストの共通要素

要素	例
<serverAddress>	<serverAddress>http://{oam_admin_ser ver_host}:{oam_admin_server_port} </serverAddress>
<agentName>	<agentName>RREG_OAM</agentName>
<hostIdentifier>	<hostIdentifier>RREG_HostId11G </hostIdentifier>
<agentBaseUrl> ノート: 拡張されたテンプレートのみ	<agentBaseUrl>http://{web_server_ host):(web_server_port} </agentBaseUrl>
<autoCreatePolicy> ノート: 拡張されたテンプレートのみ	<autoCreatePolicy>true </autoCreatePolicy>
<applicationDomain> ノート: 拡張されたテンプレートのみ	<applicationDomain>RREG_OAM11G </applicationDomain>
<virtualhost> ノート: 拡張されたテンプレートのみ	<virtualhost>false<virtualhost>

15.6.3 キーの使用、生成、プロビジョニングおよびストレージ

登録方式(Oracle Access Managementコンソールおよびリモート登録)にかかわらず、各登録エージェントには対称キーがあります。

mod_ossoまたはOAMエージェントの保護の有無に関係なく、各アプリケーションに対称キーがあります。登録ツールにより、このキーが生成されます。必要に応じて取得できるように、アプリケーションのマッピング、キーおよびエージェント・タイプがシステム構成に格納されます。次の各項では、詳細を説明します。

15.6.3.1 キーの使用

各11g Webゲート・エージェントには、エージェントおよびOAMサーバー間で共有される独自の秘密キーがあります。

1つの11g Webゲートが損なわれても、他の11g Webゲートは影響を受けません。概要は次のとおりです。

ホストベースのWebGate固有のOAMAuthnCookie_<host:port>_<random number>を暗号化/復号化します。
WebゲートおよびOAMサーバー間でリダイレクトされるデータを暗号化/復号化します。

15.6.3.2 キー生成プロセス

使用方式(Oracle Access Managementコンソールおよびリモート登録)に関係なく、エージェントの登録時にキーの生成が自動的に発生します。エージェントごとに1つの対称キーがあります。

図15-5に、キーの生成プロセスを示します。

図15-5 キーの生成

「図15-5 キーの生成」の説明

15.6.3.3 キーのアクセス可能性およびプロビジョニング

エージェント固有の各キーは、クライアント・マシン上の保護されたローカル・ストレージを介して、対応するWebゲートからアクセスできる必要があります。暗号化キーは、データ・ストアには格納されません。かわりに、JavaキーストアまたはCSFリポジトリのエントリへの別名が格納され、パートナと信頼管理APIは、リクエストされた時点で実際のキーを取得します。

エージェント固有の秘密キーには、次の特徴があります。

リモート登録中にプロビジョニングされます(帯域内モードまたは帯域外モード)。
各エージェントを一意に識別できるように一意の値が設定されます。
エージェントにセキュアに配布されます(帯域内モードのワイヤまたは帯域外モードの個別のセキュアなチャネルを使用)。
SSOウォレットのOracle Secret Storeに保存されます。SSOウォレットの作成は、11g Webゲートにのみ適用されます(その他の10g Webゲートなどのエージェント・タイプには適用されません)。

ノート:
Oracle Secret Storeは、プレーン・テキストではないOracle Wallet内の秘密キーおよび他のセキュリティ関連の秘密情報を統合するコンテナです。SSOウォレットは、基礎となるファイル・システムのセキュリティに基づいてデータを保護します。このウォレットを開く場合、パスワードは必要ありません。SSOウォレットのセキュリティは、オペレーティング・システムおよびファイル権限によって異なります。
登録の完了時に自動ログインの編集可能なSSOウォレットのOracle Secret Storeに保存されます。

15.6.3.4 キー・ストレージ

エージェント・キーを含むSSOウォレットをWebGate_instance_dir/WebGate/config ($WebTier_MW_Home/Oracle_WT1/instancesなど)のObAccessClient.xmlを含むディレクトリのcwallet.ssoに格納する必要があります。

SSOウォレットにユーザー・パスワードは不要で、適切なファイル権限(700)またはWindowsのレジストリで保護する必要があります。