60.4 Outlook Webアプリケーション(OWA)に対する偽装の設定

分散Exchange/OWAシングル・サインオン環境では、各サーバーで、Access Managerに現在のユーザーを偽装させる必要があります。偽装を有効にするには、偽装アプリケーション・ドメインの認可ポリシーの「レスポンス」タブにHTTPヘッダーを追加する必要があります。

スタンドアロンOWA環境および分散OWA環境の両方でテスト済のソリューションを次に示します。

1. Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの説明に従って、Access Manager 11gをインストールします。
2. 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従って、すべてのOWAクライアント・サーバー上に11g Webゲートをインストールします。
3. Webゲート登録ページで、アクセス・ゲートを使用するバックエンド・サーバーのWebゲートのIPチェックを無効にします(リクエストがユーザーのブラウザではなくフロントエンド・サーバーから転送されるため)。
4. 「Outlook Webアプリケーションに対して偽装を設定するための前提条件」の説明に従って、OWAが統合Windows認証を使用していなことを確認します。
5. 「Outlook Webアプリケーションに対する信頼できるユーザー・アカウントの作成」の説明に従って、Active Directoryでの偽装に対してのみ信頼できるユーザー・アカウントを作成します。
6. 「Outlook Webアプリケーションの信頼できるユーザーへの権限の割当て」の説明に従って、オペレーティング・システムの一部として機能する特別な権限を信頼できるユーザーに付与します。
7. 「信頼できるOutlook Webアプリケーション・ユーザーのWebゲートへのバインド」の説明に従って、信頼できるユーザーの認証資格証明を提供して、信頼できるユーザーをWebゲートにバインドします。
8. 「Outlook Webアプリケーションに対するアプリケーション・ドメインへの偽装アクションの追加」の説明に従って、(偽装アプリケーション・ドメインで)認証ポリシーの「レスポンス」タブにimpersonateという名前のヘッダー変数を追加します。
9. 「偽装dllのIISへの追加」の説明に従って、IISImpersonationModule.dllをIIS構成に追加して、IISを構成します。
10. 「Outlook Webアプリケーションに対する偽装のテスト」の説明に従って、偽装をテストします。

関連項目:

「ヘッダー変数による偽装の有効化」。

60.4.1 Outlook Webアプリケーションに対して偽装を設定するための前提条件

Outlook Webアプリケーションに対して偽装設定を続行する前に、OWAが統合Windows(または他の)認証を使用していないことを確認します。

そうでない場合は、次のステップを使用して、Windows認証によるOWAを設定できます。

1. Exchange管理コンソールを開きます。
2. 「サーバーの構成」に移動し、「クライアント アクセス」をクリックします。
3. 「Outlook Web Access」を選択して、「プロパティ」をクリックします。
4. 「プロパティ」ダイアログ・ボックスで、「認証」タブをクリックします。
5. すべての認証方法をクリア(選択解除)します。
6. 「適用」をクリックし、「OK」をクリックします。
7. IISサーバーを再起動します。
8. 「Outlook Webアプリケーションに対する信頼できるユーザー・アカウントの作成」に進みます。

60.4.2 Outlook Webアプリケーションに対する信頼できるユーザー・アカウントの作成

この特別なユーザーは、偽装以外には使用しないでください。信頼できるユーザーには、非常に強力な権限が付与されるため、非常に複雑なパスワードを選択することをお薦めします。

また、「パスワードの有効期限なし」ボックスがマークされていることも確認してください。偽装モジュールは、信頼できるユーザー・アカウントを表示できる唯一のエンティティであるため、外部のエージェンシがパスワードの期限切れを発見することは非常に困難です。

Outlook Webアプリケーションに対する信頼できるユーザー・アカウントを作成するには、次のようにします。

1. Windows 2008マシンで、「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に選択します。
2. 「Active Directoryユーザーとコンピュータ」ウィンドウで、左ペインのツリーで「ユーザー」を右クリックし、「新規作成」→「ユーザー」の順に選択します。
3. 「新規オブジェクト - ユーザー」というペインの「名」フィールドに、OWAImpersonatorなどの覚えやすい名前を入力します。
4. この同じ文字列を「ユーザー ログオン名」フィールドにコピーし、「次へ」をクリックします。
5. 次のパネルで、パスワードの選択と確認用の再入力を求められます。
6. 「Outlook Webアプリケーションの信頼できるユーザーへの権限の割当て」に進みます。

60.4.3 Outlook Webアプリケーションの信頼できるユーザーへの権限の割当て

オペレーティング・システムの一部として機能する権限を信頼できるユーザーに与える必要があります。

Outlook Webアプリケーションの信頼できるユーザーに権限を割り当てるには、次のようにします。

1. 「コントロール パネル」から「管理ツール」を選択し、「ドメイン コントローラ セキュリティ ポリシー」(コンピュータがドメイン・コントローラである場合)または「ローカル セキュリティ ポリシー」をクリックします。
2. 左ペインのツリーで、「ローカル ポリシー」の横のプラス・アイコン(+)をクリックします。
3. 左ペインのツリーで「ユーザー権利の割り当て」をクリックします。
4. 右ペインで「オペレーティング システムの一部として機能」をダブルクリックします。
5. 「ユーザーまたはグループの追加」をクリックします。
6. 「ユーザーまたはグループの追加」パネルで、信頼できるユーザーのユーザー・ログオン名(この例ではOWAImpersonator)をユーザー名とグループ名のテキスト・ボックスに入力し、「OK」をクリックして変更を登録します。
7. 「信頼できるOutlook Webアプリケーション・ユーザーのWebゲートへのバインド」に進みます。

60.4.4 信頼できるOutlook Webアプリケーション・ユーザーのWebゲートへのバインド

信頼できるユーザーの認証資格証明を指定して、信頼できるユーザーをWebゲートにバインドする必要があります。

Webゲートと信頼できるユーザーのバインドが作成されると、Webゲートは要求に応じて偽装を提供できるようになります。要求は、偽装用に作成されたアプリケーション・ドメインの認可ポリシーで設定されたレスポンスによって作成されます。

次の手順では、11g Webゲート(ImpersonateAgent)をAccess Managerに登録していることを前提としています。次の手順の値は、例としてのみ提供されます。環境はユーザーによって異なります。

関連項目:

『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「OAM 11gエージェントの登録および管理」を参照してください。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「起動パッド」タブで、「エージェント」をクリックします。
3. この統合のために変更する11g WebGate登録を見つけます。たとえば、ImpersonateAgentです。

   • 「すべて」が有効になっているものを見つける: 「状態」で「すべて」を選択し、「検索」ボタンをクリックします。結果リスト内の目的のWebgate名をクリックします。

4. Webgate登録ページを開いて、事前に作成している信頼できるユーザー・アカウントのSharePointユーザー名とパスワードを入力します。
5. 「適用」をクリックして変更をコミットします。

   Webgateと信頼できるユーザーのバインドが作成されます。これで、Webgateは、要求に応じて偽装を提供できるようになりました。要求は、偽装用に作成されたアプリケーション・ドメインの認可成功アクションによって作成されます。

60.4.5 Outlook Webアプリケーションに対するアプリケーション・ドメインへの偽装アクションの追加

OWAリソースを保護するために、アプリケーション・ドメインを作成または構成する必要があります(/owaおよび/ecpのみ)。

IISImpersonation Module.dllは、IIS7.xでowaアプリケーションおよびecpアプリケーションにのみ適用され、サイト・レベルから削除されていることを確認します。認証ポリシーは、複数のHTTPヘッダー変数(認証ポリシー内のヘッダー・タイプのレスポンス)を設定する必要があります。

この手順では、Access Managerに登録された11g WebGate (ImpersonateAgent)用のアプリケーション・ドメインがすでに存在することを前提としています。

関連項目:

『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「リソースの保護およびSSOの有効化ポリシーの管理」。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「Access Manager」セクションで、「アプリケーション・ドメイン」をクリックします。
3. OWA2010アプリケーション・ドメイン(偽装に関連するアプリケーション・ドメイン)を検索して開きます。

   次のように移動します。

   •         認可ポリシー
   •              保護対象リソース・ポリシー
   •                   レスポンス
4. 「追加」ボタン、「レスポンスの追加」の順にクリックします。

   フォームに次のように入力します。

   • 「タイプ」リストから「ヘッダー」を選択します。

   • 「名前」フィールドに、このレスポンスの一意の名前を入力します。たとえば、IMPERSONATEと入力します。

   • 「値」フィールドに、このレスポンスの値を入力します。たとえば、 $user.useridと入力します。

5. 「追加」、「適用」の順にクリックして、変更を送信します。
6. 次の項「偽装DLLのIISへの追加」に進みます。

このレスポンスは、2つ目のWebgateリクエスト(認可用)に使用されます。

60.4.6 偽装dllのIISへの追加

IISは、IISImpersonationModule.dllをIIS構成に追加することで構成できます。

また、ユーザーの偽装に対して必要であるため、「匿名アクセスを有効にする」を設定する必要もあります。

1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します
2. IIS 7.xの左ペインで、ホスト名をクリックします。
3. 中央ペインで、「IIS」ヘッダーの下の「モジュール」をダブルクリックします。
4. 右ペインで「ネイティブ モジュールを構成」をクリックして「登録」をクリックします。
5. ウィンドウに、モジュール名(たとえば、Oracle偽装モジュール)を入力します。
6. 「パス」フィールドに、IISImpersonationModule.dllへのフルパスを入力します。

   デフォルトでは、パスは次のとおりです。

   Webgate_install_dir\webgate\iis\lib\IISImpersonationModule.dll
   

   ここで、Webgate_install_dirはWebゲートのインストール・ディレクトリです。

   ノート:

   パスにスペースが存在する場合(たとえば、C:\Program Files\Oracle\...)文字列全体を二重引用符(" ")で囲みます。

7. 「OK」をクリックして、モジュールを登録します。
8. 新しく作成したモジュールの名前を確認し、「OK」をクリックして、各Webサイトにモジュールを適用します。

60.4.7 IISセキュリティの構成

続行する前にIISセキュリティを構成します。図60-4に例を示します。

図60-4 偽装認証

「図60-4 偽装認証」の説明

1. 「スタート」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」の順に選択します
2. 左ペインにあるツリー上のローカル・コンピュータのアイコンの左側のプラス・アイコン(+)をクリックします。
3. 左ペインのツリーで「Webサイト」をクリックします。
4. 中央ペインで、「IIS」の下の「認証」をダブルクリックします。
5. 「匿名アクセス」が有効になっていて、「Windows認証」が無効になっていることを確認します。

60.4.8 Outlook Webアプリケーションに対する偽装のテスト

次の方法で、OWAの偽装構成をテストできます。

• イベント・ビューアを使用した偽装のテスト

• Webページを使用した偽装のテスト

60.4.8.1 イベント・ビューアを使用した偽装のテスト

イベントビューアを使用して偽装をテストできます。

テストするには、次のようにします。

1. 「スタート」メニューから「イベント ビューア」を選択します。
2. 左ペインで「セキュリティ」を右クリックし、「プロパティ」をクリックします。
3. 「セキュリティ」プロパティ・シートで「フィルタ」タブをクリックします。
4. すべての「イベントの種類」にチェックが付いていることおよび「イベント ソース」と「分類」の各リストが「すべて」に設定されていることを確認し、「OK」をクリックして「プロパティ」シートを閉じます。
5. イベント・ビューアは、リソース・リクエストに関連付けられたheaderVarに関する情報が表示されるように構成されました。
6. 新規IIS仮想サーバー(仮想サイト)を作成します。
7. 仮想サイト上のツリーのどこかにターゲットWebページを配置します。
8. ブラウザに、WebページのURLを入力します。

   偽装が正しく機能している場合、イベント・ビューアがアクセス試行の成功を報告します。

60.4.8.2 Webページを使用した偽装のテスト

偽装をテストするには、リクエストに関する情報を返し、それを表示できる動的テスト・ページを使用できます。

テストするには、次のようにします。

1. AUTH_USERおよびIMPERSONATEパラメータが表示される、a.aspページまたはPerlスクリプトを作成します。

   このサンプル・ページのようになります:

   <TABLE border=1>
   <TR>
   <TD>Variable</TD>
   <TD>&nbsp&nbsp</TD>
   <TD>Value</TD></TR>
   <%for each servervar in request.servervariables%>
   <TR>
   <TD><%=servervar%></TD>
   <TD>&nbsp&nbsp</TD>
   <TD><%=request.servervariables(servervar)%>&nbsp</TD>
   </TR>
   

2. IIS仮想サイトを作成するかまたは前のタスクで作成したものを使用します。
3. 仮想サイトのツリーの任意の場所に、前記のサンプルのようなa.aspページまたはPerlスクリプトを配置します。
4. ブラウザで表示するページを指定し、要求を発行するユーザーの名前にAUTH_USERとIMPERSONATEの両方を設定します。

60.4.8.3 偽装のネガティブ・テストの実行

信頼できるユーザーをWebゲートからアンバインドすると、偽装のネガティブ・テストを実行できます。

実行するには、次のようにします。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「起動パッド」タブで、「エージェント」をクリックします。
3. 目的のWebゲートを検索し、編集のために開きます。
4. Webゲート登録ページで、信頼できるユーザーの資格証明を削除します。
5. 「適用」をクリックして変更を保存します。
6. ブラウザ・ウィンドウでIISサーバーを再起動し、保護されているコード・ページ(信頼できるユーザーが以前アクセスできたページ)に移動します。
7. メッセージ・ページが表示されることを確認します。AUTH_USERとIMPERSONATEの値は、偽装資格証明をWebgateにバインドするために必要です。
8. 信頼できるユーザーをWebGate登録ページにリストアします。