22.8 個別の認証用プラグインのデプロイおよび管理

この項では次のトピックを記載しています:

22.8.1 独自の認証プラグインの管理について

カスタム認証プラグインを作成し、そのプラグインを使用して、カスタマイズされたマルチステップ認証モジュールを定義できます。

『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の情報を使用すると、プラグインを作成できます。プラグインの開発後、JARファイルとして管理サーバーにデプロイする必要があり、自動的に検証されます。検証後、管理者はOracle Access Managementコンソールを使用してプラグインを構成および配布できます。

サーバーは、プラグインJARファイル内のXML構成ファイルを処理し、プラグインに関するデータを抽出します。プラグインがインポートされた後、管理者はAdminServerから使用できる情報に基づいて様々なプラグインの状態を参照し、変更できます。

図22-24は、「システム構成」タブの「共通構成」セクションにあるプラグイン・ノードおよびプラグイン・ページを示しています。この「プラグイン」ページに含まれるツールバーのコマンド・ボタンは、その多くが表で選択されたプラグインに作用します。この表は、既存のカスタム・プラグインとその状態に関する情報を提供します。ページ最下部の「プラグインの詳細」セクションは、表内の選択されたプラグインの構成詳細を反映しています。

図22-24 「プラグイン」ページ

「図22-24 「プラグイン」ページ」の説明

表22-17に示すように、管理者は「プラグイン」ページ上部の表の上にあるコマンド・ボタンを使用して、プラグインの状態を制御します。

表22-17 カスタム・プラグインの管理アクション

アクション・ボタン	説明
プラグインのインポート	プラグインJARファイルをAdminServer $DOMAIN_HOME/oam/pluginsに追加し、プラグインの検証を開始します。同一のJAR名: 新しいプラグインJAR名($DOMAIN_HOME/oam/plugins内)が既存のプラグインJAR名($DOMAIN_HOME/config/fmwconfig/oam/plugins内)と一致する場合、Oracle Access ManagerはJAR ($DOMAIN_HOME/oam/plugins内)のXMLファイルから新しい構成メタデータを抽出し、新しいプラグインのバージョンをチェックします。 XMLバージョン: 新規プラグインXMLバージョン($DOMAIN_HOME/oam/plugins内)が既存のXMLバージョン($DOMAIN_HOME/config/fmwconfig/oam/plugins内)より新しい場合、検証は成功します。そうでない場合、無効なバージョンを持つ無効なプラグイン名が戻され、新規プラグインJARが削除されます($DOMAIN_HOME/oam/pluginsから)。異なるJAR名: 新規プラグインJAR名($DOMAIN_HOME/oam/plugins内)が既存のプラグインJAR名($DOMAIN_HOME/config/fmwconfig/oam/plugins内)と異なる場合、新規プラグインJARがアップロードされ、検証は成功します。成功時: ステータスが「アップロード済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「アップロード済」と報告し、AdminServerにおけるステータスも「アップロード済」となります。失敗時: ステータスは「アップロードに失敗しました」と報告されます。関連項目: 『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のカスタム・プラグインのライフサイクルに関する項
選択項目の配布	登録済のすべてのOAMサーバーにプラグインを伝播します。 oam-config.xmlのプラグイン・フラグをDistribute=trueに設定します。 AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。 AdminServerノードから$DOMAIN_HOME/config/fmwconfig/oam/pluginsの下の各OAMサーバー・ノードに、プラグインJARを配布します。成功時: ステータスが「配布済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「配布済」と報告し、AdminServerにおけるステータスも「配布済」となります。失敗時: ステータスは「配布に失敗しました」と報告されます。
選択項目のアクティブ化	プラグインは、正常に配布された後、登録済のすべてのOAMサーバーでアクティブ化できます。アクティブ化: oam-config.xmlのプラグイン・フラグをActivate=trueに更新します。 AdminServerとOAMサーバーの間で、メッセージ・リスナーおよび通知メカニズムを起動します。 AdminServerは、登録済のすべてのOAMサーバーにメッセージ「アクティブ化」を送信します。成功時: ステータスが「アクティブ化済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「アクティブ化済」と報告し、AdminServerにおけるステータスも「アクティブ化済」となります。失敗時: ステータスは「アクティブ化に失敗しました」と報告されます。すべてのOAMサーバーについてアクティブ化した後、認証モジュールの作成または編成でプラグインを使用および実行できます。
選択項目の非アクティブ化	プラグインをアクティブ化した後で、管理者はプラグインが認証モジュールまたはスキームで使用されていない場合などに、プラグインの非アクティブ化を選択できます。登録済のすべてのOAMサーバーから選択されたプラグイン。非アクティブ化: oam-config.xmlのプラグイン・フラグをDe-activate=trueに更新します。 AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。 AdminServerおよび登録済の各OAMサーバー($DOMAIN_HOME/config/fmwconfig/oam/plugins)からプラグインJARを削除します。 AdminServerは、登録済のすべてのOAMサーバーにメッセージ「非アクティブ化」を送信します。 OAMサーバーは、AdminServerおよびOAMサーバーの両方のメッセージ・リスナーを使用して、AdminServerにステータス・メッセージを送信します。成功時: ステータスが「非アクティブ化」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「非アクティブ化」と報告し、AdminServerにおけるステータスも「非アクティブ化」となります。oam-config.xmlからプラグイン構成が削除されます。ノート: 非アクティブ化の後は、認証モジュールまたは編成でプラグインを使用または実行できません。失敗時: ステータスは「非アクティブ化に失敗しました」と報告されます。
選択項目の除去	プラグインを非アクティブ化した後、管理者は選択したプラグインを削除できます。このプロセスで、Access Managerは次のことを行います。削除: oam-config.xmlのプラグイン・フラグをRemove=trueに更新します。 AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。 AdminServerおよび登録済の各OAMサーバー($DOMAIN_HOME/config/fmwconfig/oam/plugins)からプラグインJARを削除します。 AdminServerは、登録済のすべてのOAMサーバーにメッセージ「アクティブ化」を送信します。成功時: ステータスが「削除済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「削除済」と報告し、AdminServerにおけるステータスも「削除済」となります。oam-config.xmlからプラグイン構成が削除されます。失敗時: ステータスは「削除に失敗しました」と報告されます。

アクション・ボタン

説明

プラグインのインポート

プラグインJARファイルをAdminServer $DOMAIN_HOME/oam/pluginsに追加し、プラグインの検証を開始します。

同一のJAR名: 新しいプラグインJAR名($DOMAIN_HOME/oam/plugins内)が既存のプラグインJAR名($DOMAIN_HOME/config/fmwconfig/oam/plugins内)と一致する場合、Oracle Access ManagerはJAR ($DOMAIN_HOME/oam/plugins内)のXMLファイルから新しい構成メタデータを抽出し、新しいプラグインのバージョンをチェックします。
XMLバージョン: 新規プラグインXMLバージョン($DOMAIN_HOME/oam/plugins内)が既存のXMLバージョン($DOMAIN_HOME/config/fmwconfig/oam/plugins内)より新しい場合、検証は成功します。そうでない場合、無効なバージョンを持つ無効なプラグイン名が戻され、新規プラグインJARが削除されます($DOMAIN_HOME/oam/pluginsから)。
異なるJAR名: 新規プラグインJAR名($DOMAIN_HOME/oam/plugins内)が既存のプラグインJAR名($DOMAIN_HOME/config/fmwconfig/oam/plugins内)と異なる場合、新規プラグインJARがアップロードされ、検証は成功します。

成功時: ステータスが「アップロード済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「アップロード済」と報告し、AdminServerにおけるステータスも「アップロード済」となります。

失敗時: ステータスは「アップロードに失敗しました」と報告されます。

関連項目: 『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のカスタム・プラグインのライフサイクルに関する項

選択項目の配布

登録済のすべてのOAMサーバーにプラグインを伝播します。
oam-config.xmlのプラグイン・フラグをDistribute=trueに設定します。
AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。
AdminServerノードから$DOMAIN_HOME/config/fmwconfig/oam/pluginsの下の各OAMサーバー・ノードに、プラグインJARを配布します。

成功時: ステータスが「配布済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「配布済」と報告し、AdminServerにおけるステータスも「配布済」となります。

失敗時: ステータスは「配布に失敗しました」と報告されます。

選択項目のアクティブ化

プラグインは、正常に配布された後、登録済のすべてのOAMサーバーでアクティブ化できます。

アクティブ化:

oam-config.xmlのプラグイン・フラグをActivate=trueに更新します。
AdminServerとOAMサーバーの間で、メッセージ・リスナーおよび通知メカニズムを起動します。
AdminServerは、登録済のすべてのOAMサーバーにメッセージ「アクティブ化」を送信します。

成功時: ステータスが「アクティブ化済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「アクティブ化済」と報告し、AdminServerにおけるステータスも「アクティブ化済」となります。

失敗時: ステータスは「アクティブ化に失敗しました」と報告されます。

すべてのOAMサーバーについてアクティブ化した後、認証モジュールの作成または編成でプラグインを使用および実行できます。

選択項目の非アクティブ化

プラグインをアクティブ化した後で、管理者はプラグインが認証モジュールまたはスキームで使用されていない場合などに、プラグインの非アクティブ化を選択できます。登録済のすべてのOAMサーバーから選択されたプラグイン。

非アクティブ化:

oam-config.xmlのプラグイン・フラグをDe-activate=trueに更新します。
AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。
AdminServerおよび登録済の各OAMサーバー($DOMAIN_HOME/config/fmwconfig/oam/plugins)からプラグインJARを削除します。
AdminServerは、登録済のすべてのOAMサーバーにメッセージ「非アクティブ化」を送信します。
OAMサーバーは、AdminServerおよびOAMサーバーの両方のメッセージ・リスナーを使用して、AdminServerにステータス・メッセージを送信します。

成功時: ステータスが「非アクティブ化」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「非アクティブ化」と報告し、AdminServerにおけるステータスも「非アクティブ化」となります。oam-config.xmlからプラグイン構成が削除されます。

ノート: 非アクティブ化の後は、認証モジュールまたは編成でプラグインを使用または実行できません。

失敗時: ステータスは「非アクティブ化に失敗しました」と報告されます。

選択項目の除去

プラグインを非アクティブ化した後、管理者は選択したプラグインを削除できます。このプロセスで、Access Managerは次のことを行います。

削除:

oam-config.xmlのプラグイン・フラグをRemove=trueに更新します。
AdminServerとOAMサーバーの間で、配布リスナーおよび通知メカニズムを起動します。
AdminServerおよび登録済の各OAMサーバー($DOMAIN_HOME/config/fmwconfig/oam/plugins)からプラグインJARを削除します。
AdminServerは、登録済のすべてのOAMサーバーにメッセージ「アクティブ化」を送信します。

成功時: ステータスが「削除済」として報告されます(OAMサーバーが停止している場合も同様)。登録されたすべてのOAMサーバーが「削除済」と報告し、AdminServerにおけるステータスも「削除済」となります。oam-config.xmlからプラグイン構成が削除されます。

失敗時: ステータスは「削除に失敗しました」と報告されます。

表22-18では、プラグイン・ステータス表の要素について説明します。

表22-18 プラグイン・ステータス表

要素	説明
プラグイン名	XMLメタデータ・ファイルのプラグイン名要素から抽出されます。
説明	XMLメタデータ・ファイルの説明要素から抽出されます。
アクティブ化のステータス	AdminServerの情報に基づいてアクティブ化のステータスが報告されます。
タイプ	XMLメタデータ・ファイルのタイプ要素から抽出されます。
最終更新日	XMLメタデータ・ファイルの作成日要素から抽出されます。
最終更新者	XMLメタデータ・ファイルの作成者要素から抽出されます。

このページの「プラグインの詳細」セクションでは、表22-18に示すように、「アクティブ化のステータス」がAdminServerによって維持されます。

図22-25 「プラグインの詳細」: 選択したプラグインのアクティブ化のステータス

「図22-25 「プラグインの詳細」: 選択したプラグインのアクティブ化のステータス」の説明

プラグインによっては、様々な構成詳細がXMLメタデータ・ファイルの構成要素から抽出され、「プラグインの詳細」セクションの「構成パラメータ」に移入されます。例を表22-19に示します(表22-13も参照してください)。

表22-19 XMLメタデータ・ファイルから抽出されたプラグイン詳細の例

構成要素	説明
データソース	- <configuration> - <AttributeValuePair> <Attribute type="string" length="20">DataSource</Attribute> <mandatory>true</mandatory> <instanceOverride>false</instanceOverride> <globalUIOverride>true</globalUIOverride> <value>jdbc/CISCO</value> <AttributeValuePair> <configuration>
Kerberos詳細	次のKerberos詳細を定義します。 `KEY_KEYTAB_FILE, KEY_PRINCIPAL, KEY_KRB_CONFIG_FILE`
ユーザー識別詳細	このプラグインが使用するユーザー・アイデンティティ・ストアおよびLDAPフィルタのパラメータを定義します。 `KEY_IDENTITY_STORE_REF, KEY_LDAP_FILTER`
ユーザー認証詳細	このプラグインが使用するユーザー・アイデンティティ・ストアを定義します。 `KEY_IDENTITY_STORE_REF`
X.509詳細	このプラグインが使用するX.509証明書詳細を定義します。 `KEY_CERTIFICATE_ATTRIBUTE_TO_EXTRACT, KEY_IS_CERT_VALIDATION_ENABLED`

22.8.2 カスタム・プラグインを使用可能にする手順

有効な管理者の資格証明を持つユーザーは、カスタム・プラグインを追加、検証、配布およびアクティブ化できます。

前提条件

カスタム・プラグインの開発の詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照してください。

プラグインをインポートします。
1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「アプリケーション・セキュリティ」コンソールで、「プラグイン」セクションの「認証プラグイン」をクリックします。
3. 表示されるページで、「プラグインのインポート」をクリックします。
4. 「プラグインのインポート」ダイアログ・ボックスで、「参照」をクリックし、プラグインJARファイルの名前を選択します。
5. ダイアログ・ボックスのメッセージを確認し、「インポート」をクリックします。
  
  Oracle Fusion Middleware Oracle Access Management管理者ガイドに示されているように、JARファイルが検証されます。
パラメータの構成: 「プラグインの詳細」セクションを開き、「構成パラメータ」をクリックして、必要に応じて適切な情報を入力します。
プラグインをOAMサーバーに配布します。
1. 「プラグイン」表で、ターゲット・プラグインを選択します。
2. 「選択項目の配布」をクリックし、プラグインの「アクティブ化のステータス」タブをチェックします。
プラグイン(およびカスタム・プラグイン実装クラス)をアクティブ化し、OAMサーバーで使用できるようにします。
1. 「プラグイン」表で、ターゲット・プラグインを選択します。
2. 「選択項目のアクティブ化」をクリックし、プラグインの「アクティブ化のステータス」をチェックします。
必要に応じて次のタスクを実行します。

22.8.3 認証プラグインのアクティブ化ステータスのチェック

有効な管理者の資格証明を持つユーザーは、カスタム・プラグインをアクティブ化し、アクティブ化ステータスをチェックできます。

前提条件

カスタム・プラグインを使用可能にする手順

Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「プラグイン」セクションの「認証プラグイン」をクリックします。
「プラグイン」表で、ターゲット・プラグインを選択します。
サーバー・インスタンス名: 「プラグインの詳細」セクションを開き、「アクティブ化のステータス」をクリックしてプラグインの場所とステータスを表示します。
必要に応じて次のタスクを実行します。
- カスタム認証プラグインの削除
- バンドルされているプラグインを使用したカスタム認証モジュールの作成

22.8.4 カスタム認証プラグインの削除

有効な管理者の資格証明を持つユーザーは、カスタム・プラグインを非アクティブ化してから削除できます。

管理者がカスタム認証プラグインを削除した場合、その名前はプラグインのリストから削除されません。プラグインを削除するには(同じプラグインを後で再インポートするため)、管理者はWebLogic Serverを停止し、oam-config.xmlを手動で編集する必要があります。

前提条件

プラグインが追加されており、コンソールで使用可能になっている必要があります。

Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「プラグイン」セクションの「認証プラグイン」をクリックします。
プラグインの非アクティブ化: プラグインを削除する前に、これを実行する必要があります。
1. 「プラグイン」表で、ターゲット・プラグインを選択します。
2. 「選択項目の非アクティブ化」をクリックし、プラグインの「アクティブ化のステータス」をチェックします。
非アクティブ化したプラグインの削除:
1. 「プラグイン」表で、ターゲット・プラグインを選択します。
2. 「選択項目の削除」をクリックします。
3. WebLogic管理サーバーを停止し、oam-config.xmlの場所を確認し手動で編集して、非アクティブ化したプラグインを削除してから、WebLogic管理サーバーを再起動します。
必要に応じて次のタスクを実行します。
- カスタム・プラグインを使用可能にする手順
- バンドルされているプラグインを使用したカスタム認証モジュールの作成