Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
分散Exchange/OWAシングル・サインオン環境では、各サーバーで、Access Managerに現在のユーザーを偽装させる必要があります。偽装を有効にするには、偽装アプリケーション・ドメインの認可ポリシーの「レスポンス」タブにHTTPヘッダーを追加する必要があります。
スタンドアロンOWA環境および分散OWA環境の両方でテスト済のソリューションを次に示します。
IISImpersonationModule.dll
をIIS構成に追加して、IISを構成します。関連項目:
Outlook Webアプリケーションに対して偽装設定を続行する前に、OWAが統合Windows(または他の)認証を使用していないことを確認します。
そうでない場合は、次のステップを使用して、Windows認証によるOWAを設定できます。
この特別なユーザーは、偽装以外には使用しないでください。信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。
また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。
Outlook Webアプリケーションに対する信頼できるユーザー・アカウントを作成するには、次のようにします。
オペレーティング・システムの一部として機能する権限を信頼できるユーザーに与える必要があります。
Outlook Webアプリケーションの信頼できるユーザーに権限を割り当てるには、次のようにします。
信頼できるユーザーの認証資格証明を指定して、信頼できるユーザーをWebゲートにバインドする必要があります。
Webゲートと信頼できるユーザーのバインドが作成されると、Webゲートは要求に応じて偽装を提供できるようになります。要求は、偽装用に作成されたアプリケーション・ドメインの認可ポリシーで設定されたレスポンスによって作成されます。
次の手順では、11g Webゲート(ImpersonateAgent)をAccess Managerに登録していることを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。
関連項目:
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「OAM 11gエージェントの登録および管理」を参照してください。
OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります(/owaおよび/ecpのみ)。
IISImpersonation Module.dll
は、IIS7.xでowaアプリケーションおよびecpアプリケーションにのみ適用され、サイト・レベルから削除されていることを確認します。認証ポリシーは、複数のHTTPヘッダー変数(認証ポリシー内のヘッダー・タイプのレスポンス)を設定する必要があります。
この手順では、Access Managerに登録された11g WebGate (ImpersonateAgent)用のアプリケーション・ドメインがすでに存在することを前提としています。
関連項目:
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「リソースの保護およびSSOの有効化ポリシーの管理」。
このレスポンスは、2つ目のWebgateリクエスト(認可用)に使用されます。
IISは、IISImpersonationModule.dll
をIIS構成に追加することで構成できます。
また、ユーザーの偽装に対して必要であるため、「匿名アクセスを有効にする」を設定する必要もあります。
続行する前にIISセキュリティを構成します。図60-4に例を示します。
次の方法で、OWAの偽装構成をテストできます。
信頼できるユーザーをWebゲートからアンバインドすると、偽装のネガティブ・テストを実行できます。
AUTH_USER
とIMPERSONATE
の値は、偽装資格証明をWebgateにバインドするために必要です。