Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
エージェントの登録にコンソールを使用する以外の方法として、Oracle提供のテンプレートとリモート登録ユーティリティのoamregを使用することもできます。
Oracle Access Managementコンソールまたはリモート登録ユーティリティを使用する管理者は、システム・ストアに資格証明を格納しておく必要があります(「データ・ソースの管理」)。
この項では、リモート登録について詳細に説明します。この項の内容は、次のとおりです。
関連項目:
リモート登録ツールを使用する前に、OAM_REG_HOMEとJAVA_HOMEの2つの環境変数をスクリプト内で設定する必要があります。
表15-5に、ツールの場所はLinuxシステムの$OAM_REG_HOMEと想定したサンプルを示します。環境によっては異なることがあります。
表15-5 oamreg内で設定する環境変数
環境変数 | 説明 |
---|---|
OAM_REG_HOME |
後に/rregが付けられるRREG.tarが展開されたディレクトリ。 $OAM_HOME/oam/server/rreg/client/rreg |
JAVA_HOME |
Javaがクライアント・コンピュータに格納されているロケーション。たとえば、$WLS_HOME/Middleware/jdk160_11などです。 ノート: $JAVA_HOMEはJDK 1.6を参照する必要があります。(JDK 1.7もR2PS3で使用できます。) |
表15-6 リモート登録コマンドの引数: モード
引数 | 説明 |
---|---|
mode |
次のいずれかです。
|
input/ |
入力ファイル(*request.xmlまたはagentName_Response.xml)への絶対パス、または$OAM_REG_HOMEの値に対する相対パス。 推奨される場所は、$OAM_REG_HOME/inputです。 |
表15-7に示すサンプル・コマンドでは、ツールの場所をLinuxシステムの$OAM_REG_HOMEと想定しています。
表15-7 リモート登録コマンドのサンプル
コマンド・タイプ | サンプル(Linux) |
---|---|
帯域内の管理者の帯域内リクエスト |
./bin/oamreg.sh inband input/*Request.xml |
帯域内の管理者によって送信されたリクエスト |
./bin/oamreg.sh outofband input/starting_request.xml |
帯域外の管理者の戻されたレスポンス |
|
[prompt_flag] value: [-noprompt] |
オプション。-nopromptを使用すると、oamregはプロンプト(パスワードなど)を待ちません。かわりに、これらの値は入力ファイルから、またはechoコマンドを使用してコマンド行自体から取得されます。 $OAM_REG_HOMEロケーションからの例 (echo username; echo password; echo WebGate_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt config.file (echo username; echo password; echo WebGate_password; echo httpscert_trust_prompt;) | ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo WebGate_password; echo cert_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt (echo username; echo password; echo WebGate_password; echo httpscert_trust_prompt; echo cert_password;) | ./bin/oamreg.sh inband input/Request.xml -noprompt 関連項目: 「エージェントのリモート更新」 |
ノート:
スクリプトの起動後、管理者はユーザー名およびパスワードを求められます(表15-7
で説明した-nopromptを使用する場合を除く)。
スクリプトの実行後、成功または失敗のメッセージが通知されます。登録または更新が成功したら、「エージェント構成ファイルの更新」の説明に従って、アーティファクトをエージェント・ホストにコピーする必要があります。
エージェント・タイプに関係なく、グローバル要素はすべてのリモート登録リクエスト・ファイル内で共通します。
表15-8 リモート登録リクエストの共通要素
要素 | 例 |
---|---|
<serverAddress> |
<serverAddress>http://{oam_admin_ser ver_host}:{oam_admin_server_port} </serverAddress> |
<agentName> |
<agentName>RREG_OAM</agentName>
|
<hostIdentifier> |
<hostIdentifier>RREG_HostId11G
</hostIdentifier>
|
<agentBaseUrl> ノート: 拡張されたテンプレートのみ |
<agentBaseUrl>http://{web_server_ host):(web_server_port} </agentBaseUrl> |
<autoCreatePolicy> ノート: 拡張されたテンプレートのみ |
<autoCreatePolicy>true </autoCreatePolicy> |
<applicationDomain> ノート: 拡張されたテンプレートのみ |
<applicationDomain>RREG_OAM11G </applicationDomain> |
<virtualhost> ノート: 拡張されたテンプレートのみ |
<virtualhost>false<virtualhost> |
登録方式(Oracle Access Managementコンソールおよびリモート登録)にかかわらず、各登録エージェントには対称キーがあります。
mod_ossoまたはOAMエージェントの保護の有無に関係なく、各アプリケーションに対称キーがあります。登録ツールにより、このキーが生成されます。必要に応じて取得できるように、アプリケーションのマッピング、キーおよびエージェント・タイプがシステム構成に格納されます。次の各項では、詳細を説明します。
各11g Webゲート・エージェントには、エージェントおよびOAMサーバー間で共有される独自の秘密キーがあります。
1つの11g Webゲートが損なわれても、他の11g Webゲートは影響を受けません。概要は次のとおりです。
ホストベースのWebGate固有のOAMAuthnCookie_<host:port>_<random number>を暗号化/復号化します。
WebゲートおよびOAMサーバー間でリダイレクトされるデータを暗号化/復号化します。
使用方式(Oracle Access Managementコンソールおよびリモート登録)に関係なく、エージェントの登録時にキーの生成が自動的に発生します。エージェントごとに1つの対称キーがあります。
図15-5に、キーの生成プロセスを示します。
エージェント固有の各キーは、クライアント・マシン上の保護されたローカル・ストレージを介して、対応するWebゲートからアクセスできる必要があります。暗号化キーは、データ・ストアには格納されません。かわりに、JavaキーストアまたはCSFリポジトリのエントリへの別名が格納され、パートナと信頼管理APIは、リクエストされた時点で実際のキーを取得します。
エージェント固有の秘密キーには、次の特徴があります。
リモート登録中にプロビジョニングされます(帯域内モードまたは帯域外モード)。
各エージェントを一意に識別できるように一意の値が設定されます。
エージェントにセキュアに配布されます(帯域内モードのワイヤまたは帯域外モードの個別のセキュアなチャネルを使用)。
SSOウォレットのOracle Secret Storeに保存されます。SSOウォレットの作成は、11g Webゲートにのみ適用されます(その他の10g Webゲートなどのエージェント・タイプには適用されません)。
ノート:
Oracle Secret Storeは、プレーン・テキストではないOracle Wallet内の秘密キーおよび他のセキュリティ関連の秘密情報を統合するコンテナです。SSOウォレットは、基礎となるファイル・システムのセキュリティに基づいてデータを保護します。このウォレットを開く場合、パスワードは必要ありません。SSOウォレットのセキュリティは、オペレーティング・システムおよびファイル権限によって異なります。
登録の完了時に自動ログインの編集可能なSSOウォレットのOracle Secret Storeに保存されます。