Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
既存のOpenSSOエージェントをAccess Managerに移行する場合も、新しいOpenSSOエージェントを登録する場合も、Oracle Access Managementコンソールを使用すると、OpenSSOエージェントの管理と登録が一元化できます。
管理者は、新しいOpenSSOエージェントの登録時に、「新規OpenSSOエージェント」ページで情報を入力できます。
表28-5 「新規OpenSSOエージェント」ページの要素
要素 | 説明 |
---|---|
エージェント・タイプ |
OpenSSOエージェント・タイプは次のどちらかです。
ノート: どちらのエージェント・タイプも、同時にSSOのみを選択した場合は、アクセスが保護されます。 |
エージェント名 |
このエージェントの一意の名前。 |
パスワード パスワードの再入力 |
このOpenSSOエージェントの必須かつ一意のパスワードで、この登録プロセス中に割り当てられています。このエントリは不明瞭化された形式で、コンソール、oam-config.xml、OpenSSOAgentBootstrap.propertiesに表示されます。 登録されたエージェントがOAMサーバーに接続すると、ユーザーはパスワードの入力を求められます。パスワードにより、認証時に認可されていないエージェントが接続してポリシー情報を取得するのを防ぎます。 |
ホスト識別子 |
OpenSSOエージェントのホストおよびポートを識別する名前。 デフォルト: エージェント名 関連項目: 「仮想Webホスティングについて」 |
ベースURL |
OpenSSOエージェントがインストールされているコンピュータのプロトコル、ホストおよびポート。 たとえば、http://host.example.domain.com:port or https://example.domain.com:portなどです。 |
ポリシーの自動作成 |
エージェントの登録中、自動的に作成された認証および認可ポリシーを使用できます。デフォルトで、このオプションが選択(有効化)されます。エージェント名は、デフォルトで、アプリケーション・ドメイン名として使用されます。 デフォルト: 有効 関連項目: 「生成されるアーティファクト: OpenSSO」。 ノート: Access Managerのアプリケーション・ドメインは、OpenSSOのレルムに対応します。アプリケーション・ドメインおよびポリシーがすでに存在する場合、単純に新しいリソースをそれに追加できます。このオプションをクリア(チェックなし)すると、アプリケーション・ドメインやポリシーは自動的に生成されません。 |
OpenSSOエージェントのプロパティ
OpenSSOエージェントのプロパティは、次のファイルに格納されます。これらのファイルは、エージェントの登録時と構成の変更時に更新され、実行時に使用されます。
OpenSSOAgentBootstrap.properties
OpenSSOAgentConfiguration.properties
これらのファイルは、コンソール・ホスト(AdminServer)に格納されているため、表28-6に示すように、OpenSSOエージェントの/configディレクトリに再配置する必要があります。
表28-6 OpenSSOアーティファクトの再配置
再配置元のAdminServer | OpenSSOエージェントの/configディレクトリ |
---|---|
$<MW_HOME>/Oracle_IDM1/oam/server/rreg/client/rreg/output |
$Policy-Agent-base/AgentInstance-Dir/config/ |
Open SSOエージェント用に生成されるアプリケーション・ドメインの詳細は、「生成されるアーティファクト: OpenSSO」を参照してください。
拡張されたOpenSSOエージェント・ページは、Oracle Access Managementコンソールを使用してエージェントを管理するときに利用できます。登録時には、プロセスを簡潔にするために、使用可能なパラメータのうち少数のサブセットのみが表示されます。
Oracle Access Managementコンソールとリモート登録ユーティリティのどちらを使用してエージェントを登録していても、コンソールで完全なエージェントの構成ページを表示できます。デフォルト値は、このページに最初の登録後に移入され、エージェントのページを開いたときに表示されます(図28-3を参照)。
J2EEエージェント登録ページの情報は、Webエージェントの詳細とほぼ同じです。J2EEエージェント登録ページを図28-4に示します。
拡張されたOpenSSOエージェント登録ページのすべての要素については、表28-7で説明しています。
表28-7 拡張されたOpenSSOエージェント登録の要素
要素 | 説明 |
---|---|
ステータス |
このエージェント登録の状態: 「有効」または「無効」。 デフォルト: 有効 関連項目: 表28-5 |
フィルタ・モード J2EEエージェント・タイプのみ |
エージェント・フィルタは、保護されているアプリケーション内にインストールされています。セキュリティ・ポリシーの施行を円滑化し、保護されているアプリケーション内のすべてのリソースへのアクセスを制御します。J2EEエージェントによって保護されるすべてのアプリケーションのデプロイメント・ディスクリプタを、エージェント・フィルタを使用するように変更する必要があります。この設定が行われていないアプリケーションは、J2EEエージェントによって保護されず、エージェント・レルムがインストールされているデプロイメント・コンテナにデプロイされた場合は正常に動作しなかったり使用できなくなったりする可能性があります。 J2EEエージェントの場合、フィルタ・モードに、SSO_ONLYまたはURL_Policyのどちらかのオプションを選択して設定する必要があります。 デフォルト: URL_Policy
プロセスの概要: 認証のみ(SSO_ONLY J2EEフィルタ・モード)
プロセスの概要: URL_Policy J2EEフィルタ・モードによる認証および認可
ノート: フィルタ・モードとして「なし」、J2EE_Policy、「すべて」はサポートされていません。 関連項目: 「OpenSSOエージェント登録パラメータの理解」。 |
セッション・タイムアウト秒数(ユーザー) |
矢印をクリックして期間を指定します。この期間を経過すると、セッションはタイムアウトして、ユーザーは再認証が必要になります。この設定を有効にするには、「最大セッション数」を0以外の値に設定する必要があります。 デフォルト: 0 |
最大セッション数 |
各ユーザーに許可される最大セッション数。 デフォルト: 0 |
Cookie名 |
OpenSSO cookieのデフォルト名は次のとおりです。 デフォルト: iPlanetDirectoryPro |
Cookieセパレータ |
Cookieとして同じ属性の複数の値を設定する場合にセパレータとして使用する文字を定義します。たとえば、パイプ記号「|」を使用できます。 デフォルト: |
Cookieエンコーディングの有効化 J2EEエージェント・タイプのみ |
Cookieのエンコードを有効にするかどうかを指定します。 デフォルト: 有効 |
SSOのみ Webエージェント・タイプのみ |
OpenSSOエージェントが、ブートストラップし、Access Managerによって提供されるOpenSSOプロキシを介してOAMサーバーで認証できるようにします。 エンド・ユーザーがOpenSSOエージェントによって保護されているアプリケーションまたはリソースにアクセスすると、OpenSSOエージェントは、この非認証ユーザーを認証を受けるためにOAMサーバーにリダイレクトします。 認証に成功すると、OpenSSOプロキシは、レスポンスCookieにOpenSSOセッションIDを設定して、ユーザーを元の保護されているアプリケーションまたはリソースにリダイレクトします。 有効なOpenSSOセッションを取得した認証済ユーザーは、OpenSSOエージェントによって保護されているアプリケーションまたはリソースにアクセスします。OpenSSOエージェントは、OpenSSOプロキシを介して、OAMサーバーに対してセッションを検証します。 エンド・ユーザーは、Access Managerの認証ポリシーに基づいてアクセスを取得します。 |
URL |
|
ログインURL |
ログインURLを入力します。このURLには、適切なプロトコル(HTTPまたはHTTPS)、ホスト、ドメインおよびポートを次の形式で指定する必要があります。 http://example.domain.com:port
デフォルト: ノート: ポート番号はオプションです。 |
ログアウトURL |
ログアウトURLは、ログアウト・ハンドラをトリガーします。これにより、Access Managerで保護されているリソースにユーザーが次回アクセスする際に再認証が必要になります。 ログアウトURLを入力する場合、適切なプロトコル(HTTPまたはHTTPS)、ホスト、ドメインおよびポートを指定する必要があります。次に例を示します。 http://example.domain.com:port/opensso/UI/Logout
デフォルト: http://oamhost:port/opensso/UI/Logout ノート: ポート番号はオプションです。ユーザーは、他のエージェント(たとえば、WebゲートやMOD_OSSO)によって保護されているリソースからログアウトする必要があります。マルチドメイン環境以外では、エージェント・ログアウトは必要ありません。 |
強制されていないURL Webエージェント・タイプのみ |
このリストに入力するURLはポリシーを強制しません。これはパブリックURLと同等であり、保護されておらず、すべてのユーザーがアクセスできます。 |
アクセス拒否されたURI |
ユーザーが、リクエストしたリソースへのアクセスが拒否された場合にリダイレクトされるURI。WebエージェントおよびJ2EEエージェントのどちらでも使用可能ですが、それぞれ次の形式で指定する必要があります。 Webエージェント(完全なURL): http://host:port/context/accessDeniedURL.html J2EEエージェント(相対URI): /context/accessDeniedURL.htm デフォルト: (空白) |
監査 |
|
デバッグ・レベル J2EEエージェント・タイプのみ |
設定されている場合、OAMサーバーは次のメッセージをログに記録します。
デフォルト: エラー |
デバッグ・ディレクトリ J2EEエージェント・タイプのみ |
OAMサーバーの次の監査ログを格納するファイルシステム・ディレクトリ・パス。
関連項目: 「管理イベントおよびランタイム・イベントの監査」 |
デバッグ・ファイル Webエージェント・タイプのみ |
ローカル・コンポーネントのイベント・ロギング・ファイルのファイルシステム・ディレクトリ・パスを定義します。 デフォルト: |
ローカル・ログ・ファイル |
ローカル・コンポーネントのイベント・ロギング・ファイルのファイルシステム・ディレクトリ・パスを定義します。 デフォルト: |
ユーザー・マッピング |
|
マッピング・モード |
デフォルト: User_ID |
ユーザー・アイデンティティ |
デフォルト: ユーザーID |
ユーザー属性名 |
デフォルト: |
属性マッピング |
属性取得は、アプリケーションが使用するHTTPリクエスト内ユーザー属性をフェッチおよび設定します。 次の「属性マッピング」パネルが用意されています。
フェッチ・モード: 一部のアプリケーションは、ユーザー・リクエストを適切に処理するために、なんらかの形でユーザー固有のプロファイル情報が存在することを前提としています。ユーザーがプロファイル属性、レスポンス属性またはセッション属性で「フェッチ・モード」を指定すると、エージェントは様々な形のユーザーのプロファイルからこれらの属性を取得できます。
デフォルト: なし |
プロファイル属性 |
ユーザー・プロファイル情報は、現在の認証済ユーザーに固有の名前で移入できます。次に例を示します。 フェッチ・モード: REQUEST_ATTRIBUTE 名前(マップ・キー): cn 値: CUSTOM-Common-Name 名前(マップ・キー): mail 値: CUSTOM-Email デフォルト: データなし |
レスポンス属性 |
ポリシー・レスポンス属性をフェッチし、ポリシー・レスポンス属性プロパティにモードを割り当て、現在の認証済ユーザーに固有の名前で移入するポリシー・レスポンス属性をマッピングすることによって、ユーザー固有情報を取得します。 フェッチ・モード: REQUEST_ATTRIBUTE 名前(マップ・キー): cn 値: CUSTOM-Common-Name 名前(マップ・キー): mail 値: CUSTOM-Email_Addr デフォルト: データなし |
セッション属性 |
OAMサーバーによって保持されるセッション・オブジェクトの属性。これらはセッション検証レスポンスの一部としてエージェントに送信されます。 フェッチ・モード: REQUEST_ATTRIBUTE 名前(マップ・キー): UserToken 値: CUSTOM-userid デフォルト: データなし |
その他 |
大部分のエージェント・プロパティは、ホットスワップ可能です。構成プロパティを変更すると、予期しない結果が発生する可能性があります。ホットスワップ可能なプロパティは即時に有効になります。そのため、誤りも即時に実装されます。大部分のエージェント・プロパティは、Oracle Access Managementコンソールを使用した構成に最も便利な形式で提示されます。ただし、この形式は、OpenSSOAgentBootstrap.propertiesファイルでは使用されていません。 リスト・プロパティ: 一部のプロパティは、プロパティ名を表すキー、リストで値が指定されるたびに1ずつ増える(0から始まる)正数、および値で構成されるリストとして指定されます。次に例を示します。 com.sun.identity.agents.config.notenforced.uri[0]=/agentsample/public/* com.sun.identity.agents.config.notenforced.uri[1]=/agentsample/images/* com.sun.identity.agents.config.notenforced.uri[2]=/agentsample/index.html マップ構成: 一部のプロパティは、プロパティ名を表すキー、マップで使用できる参照キーを形成する名前文字列、およびマップで名前に関連付けられている値で構成されるマップ構成として指定されます。次に例を示します。 com.sun.identity.agents.config.filter.mode[app1]=ALL com.sun.identity.agents.config.filter.mode[app2]=SSO_ONLY ノート: 特定の構成キーに特定の名前を指定するエントリは、構成内で1つのみ指定できます。特定の構成キーで同じ<名前>のエントリが複数存在する場合、その中のいずれか1つの値のみがシステムにロードされ、それ以外の値は破棄されます。 アプリケーション固有のプロパティ: 一部のプロパティは、特定のアプリケーション向けに構成できます。エージェントは、構成ファイルで定義することによって、同じプロパティでアプリケーションごとに異なる値を使用できます。アプリケーション固有の構成プロパティは、マップ構成のルールおよび構文に従って記述する必要があります。次の単一プロパティの設定例は、ルート・コンテキストおよびコンテキスト/Portalにデプロイされているアプリケーションを除くアプリケーションでは、プロパティのデフォルト値がvalue3に設定されることを示しています。 com.sun.identity.agents.config.example[Portal] = value1 com.sun.identity.agents.config.example[DefaultWebApp] = value2 com.sun.identity.agents.config.example = value3 グローバル・プロパティ: 特定のアプリケーション向けに構成されていないプロパティは、デプロイメント・コンテナ上のすべてのアプリケーションに適用されます。そのようなプロパティは、グローバル・プロパティと呼ばれます。 シリアル番号: 自動的に割り当てられます。 名前: 次のいずれかを選択します。 値: 選択した名前に対する適切な値を入力します。 ノート: OpenSSOエージェント構成のホットスワップを有効にするには、openssoエージェントが、OAMサーバー上のOpenSSOプロキシでエージェントのプロファイルの「その他」プロパティ・セクションに次のプロパティがあり、エージェント・サーバーが再起動されることを確認します。 J2eeエージェント: Webエージェント:
サポート対象外、Webエージェント: |
関連項目: |
|
要素 |
説明 |
関連項目: |
|
ステータス |
このエージェント登録の状態: 「有効」または「無効」。 デフォルト: 有効 |
フィルタ・モード J2EEエージェント・タイプのみ |
エージェント・フィルタは、保護されているアプリケーション内にインストールされています。セキュリティ・ポリシーの施行を円滑化し、保護されているアプリケーション内のすべてのリソースへのアクセスを制御します。J2EEエージェントによって保護されるすべてのアプリケーションのデプロイメント・ディスクリプタを、エージェント・フィルタを使用するように変更する必要があります。この設定が行われていないアプリケーションは、J2EEエージェントによって保護されず、エージェント・レルムがインストールされているデプロイメント・コンテナにデプロイされた場合は正常に動作しなかったり使用できなくなったりする可能性があります。 J2EEエージェントの場合、フィルタ・モードに、SSO_ONLYまたはURL_Policyのどちらかのオプションを選択して設定する必要があります。 デフォルト: URL_Policy
プロセスの概要: 認証のみ(SSO_ONLY J2EEフィルタ・モード)
プロセスの概要: URL_Policy J2EEフィルタ・モードによる認証および認可
ノート: フィルタ・モードとして「なし」、J2EE_Policy、「すべて」はサポートされていません。 関連項目: 「OpenSSOエージェント登録パラメータの理解」。 |