24.4 パスワード・ポリシーによる資格証明コレクタURLの指定

資格証明コレクションの方法に関係なく、Access Managerで(認証スキームのパスワード・ポリシー検証モジュールを使用して)保護されたすべてのリソースに適用される1つのグローバル・パスワード・ポリシーを構成できます。

資格証明コレクタおよび関連するフォームに対応するURLは、表24-3で説明されているように指定する必要があります。

表24-3 認証用の資格証明コレクタと関連フォームの指定

指定する場所	ECCの場合	DCCの場合
OAMエージェント登録 DCCのみ	該当なし。	OAMエージェント登録ページの「管理操作の許可」の横にあるチェック・ボックスを選択します。 関連項目: 「DCCの資格証明操作の有効化」
ログイン、エラーおよびパスワード・ページ	ユーザーが資格証明を入力するページです。OAMサーバーにデフォルトで付属し、追加の設定や変更は必要ありません。 ログイン・ページ: /pages/login.jsp ログアウト・ページ: /pages/logout.jsp エラー・ページ: /pages/servererror.jsp マルチステップ認証: /pages/mfa_login.jsp	DCCを使用する汎用のログイン/ログアウトおよびパスワード・ポリシーの動的ページは、OHSのhttpd.conf/webgate.confファイルを使用して自動的に除外されます。これらを、除外するポリシーを構成する必要はありません。 Webゲート・ホストのディレクトリ($WEBGATE_HOME/webgate/ohs/oamsso/*、 $WEBGATE_HOME/webgate/ohs/oamsso-bin/*plおよび$WEBGATE_HOME/webgate/ohs/oamsso-bin/templates/*)で、次を参照してください。 ログイン・ページ: /oamsso-bin/login.pl ログアウト: /oamsso-bin/logout.pl RSA SecurIDログイン・ページ: /oamsso-bin/securid.pl DCCベースのログインおよびログアウトを行うPerlスクリプト Perl実行可能ファイルのパス名は、Webゲート・ホストの$WEBGATE_HOME/webgate/ohs/oamsso-bin/*plにあるOracle提供のPerlスクリプト内で、実際の場所と一致するように更新する必要があります。 関連項目: 表22-5
パスワード・ポリシー、パスワード・サービスURL	Default/ECCのパスワード・ページが自動的に使用されます。 ECCのパスワード・サービスURL: /oam/pages/pswd.jsp 関連項目: 「グローバル・パスワード・ポリシーの定義」	DCCパスワード・ページに次を入力します。 DCCのパスワード・サービスURL: /oamsso-bin/login.pl 関連項目: 「パスワード・ポリシーのDCCフォームの検索と更新」
ユーザー・アイデンティティ・ストア	Access Managerスキーマのユーザー・データ・オブジェクト定義は、パスワードのユーザー・ステータスとパスワード履歴のメンテナンスを有効化する属性で拡張されます。この定義は、LDIFファイルで指定して、ldapaddツールを使用して各ユーザー・アイデンティティ・ストアに追加する必要があります。オラクル社が提供するLDIFについて表24-6に示します。	DCCとECCのどちらについても同じです。 関連項目: 「デフォルト・ストアへのキー・パスワード属性の追加」 「パスワードの変更後ユーザー属性を変更するために管理者を追加」
パスワード・ポリシー検証認証モジュール	3つの各プラグイン/ステップのKEY_IDSTORE_REFとしてデフォルト・ストアを入力します(失敗時のエラーのリダイレクトも指定します)。 関連項目: 表22-13 「パスワード・ポリシー検証認証モジュール」	DCCとECCのどちらについても同じです。
認証スキーム、チャレンジ・リダイレクトURL	資格証明コレクタのホストを入力します。 ECCの場合、相対URI形式: /oam/server (serverにhost:portを付加します) 関連項目: 「PasswordPolicyValidationSchemeの構成」	資格証明コレクタのホストを入力します。 DCCの場合、完全URL: http://dcchost:port DCCがリソースWebgateと一体化されている場合: 空のままにします 関連項目: 「PasswordPolicyValidationSchemeの構成」
認証スキーム、チャレンジURL	資格証明コレクタのログイン・フォームの相対URIを入力します。 ECCの場合: /pages/login.jsp 関連項目: 「PasswordPolicyValidationSchemeの構成」	資格証明コレクタのログイン・フォームの相対URIを入力します。 DCCの場合: /oamsso-bin/login.pl 関連項目: 「PasswordPolicyValidationSchemeの構成」
認証スキーム、チャレンジ・パラメータ	ECC: ユーザー定義のチャレンジ・パラメータ: OverrideRetryLimit=0 initial_command=NONE 関連項目: 表22-23 「PasswordPolicyValidationSchemeの構成」	DCC: ユーザー定義のチャレンジ・パラメータ: creds extracreds MaxPostDataBytes DCCCtxCookieMaxLength TempStateMode 関連項目: 表22-23 「PasswordPolicyValidationSchemeの構成」
サーバー・エラー・モード	DCCとECCのどちらについても同じです。 関連項目: 「パスワード・ポリシー・メッセージのエラー・メッセージ・モードの設定」	DCCとECCのどちらについても同じです。 関連項目: 「パスワード・ポリシー・メッセージのエラー・メッセージ・モードの設定」
認証ポリシー	認証ポリシーの資格証明コレクタ: ECC: 保護Webgate(リソースWebgate)のアプリケーション・ドメイン内のECC用に構成された認証スキームを使用します。 関連項目: 「ECC認証ポリシーへのPasswordPolicyValidationSchemeの追加」	認証ポリシーの資格証明コレクタ: リソースWebgateから独立したDCC: ***保護(リソース) Webゲート・アプリケーション・ドメイン(認証ポリシーによる リソース保護)では、DCC関連の認証スキームを使用します。 ***DCC Webゲート・アプリケーション・ドメイン、 リソースを保護する認証ポリシーは、 DCC関連の認証スキームを使用します。次の点を考慮してください。 --アクションURLなし: DCCでは、デフォルトの/oam/server/auth_cred_submitを使用しますが、これはDCC関連の認証スキームで自動的に保護されます。 --アクションURLあり: 指定されたアクションURLを DCCスキーマで明示的に保護します。 関連項目: 「DCCの認証ポリシーへのPasswordPolicyValidationSchemeの追加」
ログアウト構成	ECC: 保護(リソース) Webゲート・エージェントの登録で、ログアウトURLを構成します(表15-3を参照)。 「11g Webゲートの集中ログアウト構成」を参照	DCC: DCCエージェントの登録ページでは、「ログアウト・リダイレクトURL」は無視されます。 保護(リソース)Webgate登録で、次のように定義します。 Logout Redirect URL: http//dcchost:port/oamsso-bin/logout.pl ノート: リソースWebゲートのログアウト・リダイレクトURLがlogout.*以外の場合、そのURLはDCC Webゲート登録の「ログアウトURL」パラメータで定義する必要があります。次に例を示します。 リソースWebゲート登録に次がある場合、 ログアウト・リダイレクトURL http//dcchost:port/someurl.html DCC Webゲート登録には次を含める必要があります。 Logout URL: someurl.html DCC: Oracle提供のスクリプト内のPerlパスは、更新する必要があります。 「外部資格証明コレクタが有効化されたWebゲートを使用する場合のログアウトの構成」を参照