Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
アイデンティティ・ディレクトリ・サービス(IDS)は、Access Managerが複数のアイデンティティ・データ・ストアにアクセスするために使用する柔軟で構成可能なサービスです。IDSの目的は、Access Manager自体とともにデプロイされていないアイデンティティ・ストアのユーザーまたはグループを管理できるようにすることです。
次の各項で、詳細を説明します。
冗長な構成を排除し、アイデンティティ管理操作を簡素化するアイデンティティ・ストアにアクセスするために、一貫性のある合理化されたテクノロジを提供します。
IDSには次のような利点があります。
ディレクトリにより管理されるネイティブのユーザー/パスワードの状態との統合など、様々なユーザー・ディレクトリ・タイプのサポート。
Oracle Identity Managementコンポーネント間で一貫した管理ユーザー・インタフェースおよび様々なアイデンティティ・ストアを使用するためのパラダイム。
組込みのフェイルオーバーおよびロード・バランシング機能。
論理属性から物理属性へのマッピングとエンティティ関係。
次に、サポートされているディレクトリ・サーバーのリストを示します。
Microsoft Active Directory
Novell eDirectory
Oracle Directory Server Enterprise Edition
Oracle Internet Directory
Oracle Unified Directory
Oracle Virtual Directory
OpenLDAP
IBM Tivoli Directory Server
WebLogic Server Embedded LDAP
ノート:
アイデンティティ・データ・ストアへのアクセスには、従来のOAM IDストア機能ではなく、プロファイルを使用することをお薦めします。OAM IDストア機能は今後のリリースで非推奨になります。
図5-3は、コンソール・ページのスクリーン・キャプチャです。
ノート:
このページには、従来のOAM IDストアの構成パネルが含まれていることに注意してください。アイデンティティ・データ・ストアへのアクセスには、従来のOAM IDストア機能ではなく、プロファイルを使用することをお薦めします。OAM IDストア機能は今後のリリースで非推奨になります。
アイデンティティ・ディレクトリ・サービス・ストアの構成には、IDSプロファイルおよびIDSリポジトリのパラメータの構成が含まれます。IDSプロファイルでは、特定のタイプのアイデンティティ・ストアの全範囲の特性を指定します。これはリポジトリの論理構成で、次のデータが含まれます。
エンティティ定義
エンティティ関係定義
デフォルトの操作構成(テナントの検索/作成ベース、テナント・フィルタ、タイムアウトおよびキャッシュ構成を含む)
IDSリポジトリ構成は、実際のストアの場所を定義します。IDSリポジトリは、次のデータを含む物理構成です。
接続の詳細(ホスト・マシン、ポート番号および資格証明を含む) 接続プールの詳細 高可用性/フェイルオーバー構成 エンティティ属性マッピング
「構成」コンソールからプロファイルを作成できます。
作成するには、次のようにします。
Oracle Access Managementコンソールの上部にある「構成」をクリックします。
「構成」コンソールで、「ユーザー・アイデンティティ・ストア」をクリックします。
「IDSプロファイル」セクションで、「作成」をクリックします。
図5-4に示すように、「IDSプロファイルの作成」ページが表示されます。
新しいプロファイルに対して次の値を指定します。
名前: このユーザー・プロファイル・サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
「新規作成」または「既存のものを使用」を選択して、リポジトリのプロパティを構成します。
「新規作成」では、アイデンティティ・ディレクトリ・サービス接続の新しいリポジトリ・オブジェクト(つまり、LDAPディレクトリ・サーバーの参照)を定義します。「リポジトリ」セクションで値を定義した後に、「接続テスト」をクリックして、定義した値に間違いがないことを確認します。このオプションは、新しいアイデンティティ・ディレクトリ・サービス接続を定義している場合にのみ使用可能です。「既存のものを使用」を使用すると、以前に定義したリポジトリ・オブジェクトをドロップダウン・メニューから選択できるようになります。
(リポジトリの)「名前」: 新しい一意の名前を入力するか(作成する場合)、メニューから既存のものを選択します。新しい名前を入力した後には、アイデンティティ・ディレクトリ・サービス接続のプロパティを構成します。
ディレクトリ・タイプ: Microsoft Active DirectoryやOracle Internet Directoryなど、リポジトリをホストするディレクトリ・サーバー・ソフトウェアのタイプを選択します。ディレクトリがリストされない場合は、このフィールドを空白のままにします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
ホスト情報: アイデンティティ・ディレクトリ・サービス・リポジトリが配置されているホスト・コンピュータに関する情報を格納します。ディレクトリ・サーバーがクラスタの一部である場合は、複数のホストを追加します。新しいホストを表に追加するには、「追加」をクリックします。「ホスト名」列に、IPアドレスまたはディレクトリ・サーバーが実行されているコンピュータ(または仮想コンピュータ)の名前を入力します。「ポート」列に、ディレクトリ・サーバーが使用するように構成されているポート番号を入力します。ホストがクラスタの一部である場合は、負荷分散列に、各ホストにダイレクトされる負荷の量をパーセントとして入力します。複数のホストの場合、量の合計が100%になる必要があります。ホストを削除するには、表でその行を選択し、「削除」をクリックします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
可用性 - クラスタがフェイルオーバー操作用に構成されている場合はフェイルオーバーを選択し、クラスタが複数のホストに負荷を分散している場合はロード・バランスを選択します。既存のリポジトリを使用している場合、このフィールドは読取り専用です。
SSL - 接続がSSL用に構成されている場合は、「有効」を選択します。(SSL構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。)
ノート:
TLS接続の設定に必要なSSL証明書を追加するには、次の手順を実行します。
次のコマンドを実行して、LibOVDキーストアを作成します。
MW_HOME/oracle_common/bin/libovdconfig.sh -host WLS_ADMIN_HOST -port WLS_ADMIN_PORT -userName weblogic -domainPath WLS_DOMAIN_PATH -createKeystore -contextName ids
要求されたら、AdminServerパスワードおよびLibOVDキーストアに使用するパスワードを入力します。
OIDサーバー証明書をLibOVDキーストアにインポートします。
keytool -importcert -keystore DOMAIN_HOME/config/fmwconfig/ovd/ ids/keystores/adapters.jks -storepass KEYSTORE_PASSWORD -alias ALIAS_NAME -file FULL_PATH_TO_CERTFILE -noprompt
バインドDN - ディレクトリ・サーバーから認証を受けるために使用するLDAP管理者の識別名(DN)を入力します。
バインド・パスワード - ディレクトリ・サーバーから認証を受けるために使用するバインドDNパスワードを入力します。
ベースDN - ユーザーおよびグループのデータが配置されているベース識別名(DN)を入力します。
パスワード管理 - 「パスワード管理の有効化」を選択すると、表5-4に示した属性値に対するパスワード・ポリシー強制が有効になります。パスワード・ポリシー内の対応するオプションも同様に構成する必要があります。
ユーザーのプロパティを構成して、Mobile and Socialのユーザー・プロファイル・サービスのLDAPユーザー・オブジェクトを構成します。
ノート:
既存のアイデンティティ・ディレクトリ・サービス接続を使用している場合、これらのフィールドは読取り専用です。
オブジェクト・クラス: ディレクトリ・サーバーで定義されている組織内の人々を表すカスタム・オブジェクト・クラスを追加するには、「追加」をクリックします。
RDN属性: ディレクトリ・サーバー上のユーザー・オブジェクトに対して指定されている相対識別名属性(cnなど)を入力します。
ベースDN: ディレクトリ・サーバー上のユーザー・オブジェクトのベースDNを(LDAP形式で)入力します。
ログインID属性: ユーザーを指定するログインIDの抽出元になるLDAP属性を入力します。
グローバル共通ID属性 - グローバルな共通のユーザーID属性を入力します。
グループのプロパティを構成して、Mobile and Socialのユーザー・プロファイル・サービスのLDAPグループ・オブジェクトを構成します。
オブジェクト・クラス - ディレクトリ・サーバーで定義されている組織内の人々のグループを表すカスタム・オブジェクト・クラスを追加するには、「追加」をクリックします。
RDN属性: ディレクトリ・サーバー上のグループ・オブジェクトに対して指定されている相対識別名属性(cnなど)を入力します。
ベースDN: ディレクトリ・サーバー上のグループ・オブジェクトのベースDNを(LDAP形式で)入力します。
ID属性: グループ・オブジェクトに対して指定されているIDの抽出元になるLDAP属性を入力します。
「作成」をクリックします。
プロファイルが、「IDSプロファイル」リストに表示されます。
IDSプロファイルを編集または削除するには、表で名前を選択してから、ツール・バーにある「編集」または「削除」をクリックします。
プロファイルを編集することにより、アイデンティティ・ディレクトリ・サービス接続の追加構成プロパティが可能になります。
名前 - ドロップダウン・メニューから、ユーザー・プロファイル・サービス・プロバイダと関連付けるアイデンティティ・ディレクトリ・サービス接続を選択します。
デフォルトのアイデンティティ・ディレクトリ・サービスのいずれか(userrole
またはidxuserrole
のいずれか)を選択すると、構成値の表示や編集はできなくなります。
管理者が作成したアイデンティティ・ディレクトリ・サービス接続を選択すると、構成値を必要に応じて表示および編集できるようになります。
一般およびリポジトリ - このタブのフィールドを使用して、Mobile and Socialがディレクトリ・サービスに接続するために使用するディレクトリ・サービスおよびリポジトリ構成値を編集します。
リポジトリ名 - このメニューから、アイデンティティ・ディレクトリ・サービス接続と関連付けるリポジトリを選択します。リポジトリを選択したら、次のフォームのフィールドを使用してそのプロパティを構成します。
ディレクトリ・タイプ - Microsoft Active Directory、Oracle Internet Directoryなど、リポジトリをホストするディレクトリ・サーバー・ソフトウェアのタイプを表示します。このフィールドは読取り専用です。
ホスト情報 - アイデンティティ・ディレクトリ・サービス・リポジトリが配置されているホスト・コンピュータに関する情報を表示します。ディレクトリ・サーバーがクラスタの一部である場合は、複数のホストを追加します。新しいホストを表に追加するには、「追加」をクリックします。「ホスト名」列に、IPアドレスまたはディレクトリ・サーバーが実行されているコンピュータ(または仮想コンピュータ)の名前を入力します。「ポート」列に、ディレクトリ・サーバーが使用するように構成されているポート番号を入力します。ホストがクラスタの一部である場合は、負荷分散列に、各ホストにダイレクトされる負荷の量をパーセントとして入力します。複数のホストの場合、量の合計が100%になる必要があります。ホストを削除するには、表でその行を選択し、「削除」をクリックします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
可用性 - クラスタがフェイルオーバー操作用に構成されている場合はフェイルオーバーを選択し、クラスタが複数のホストに負荷を分散している場合はロード・バランスを選択します。既存のリポジトリを使用している場合、このフィールドは読取り専用です。
SSL - 接続がSSL用に構成されている場合は、「有効」を選択します。それ以外の場合は、オプション・ボックスをクリアにします。TLS接続に必要なSSL証明書を追加する方法の詳細は、「Identity Directory Serviceプロファイルの作成」の「SSL」を参照してください。
バインドDN - ディレクトリ・サーバーから認証を受けるために使用するLDAP管理者の識別名(DN)を入力します。
バインド・パスワード - ディレクトリ・サーバーから認証を受けるために使用するバインドDNパスワードを入力します。
ベースDN - ユーザーおよびグループのデータが配置されているベース識別名(DN)を入力します。
パスワード管理 - 「パスワード管理の有効化」を選択すると、表5-4に示した属性値に対するパスワード・ポリシー強制が有効になります。パスワード・ポリシー内の対応するオプションも同様に構成する必要があります。
エンティティ属性 - このタブのフィールドを使用して、企業ディレクトリ・サービスのスキーマをナビゲートするためにMobile and Socialで使用される属性を表示または編集します。「追加」をクリックして表に属性を追加するか、「削除」をクリックして属性を削除します。
名前 - 属性名。
物理属性 - 基盤となるリポジトリの対応する物理属性タイプの名前。
タイプ - 属性のデータ・タイプ。
説明 - 属性の簡単な説明。
機密 - 属性にパスワードなどの機密情報が含まれていることを示す場合に選択します。
読取り専用 - 変更されないように属性を保護する場合に選択します。
エンティティ/ユーザー・プロパティ - 「ユーザー」副項目のフィールドを使用して、Mobile and SocialがLDAPサーバー上のユーザー・エンティティと相互作用する方法を構成します。
ベースの作成 - ユーザーを定義するベースDN (LDAPディレクトリ・ツリーの最上位レベル)を指定します。
検索ベース - ユーザーの検索ベースDNを指定します。検索操作が処理されるときは、検索ベースDNにあるかそれより下のエントリのみが対象になります。
オブジェクト・クラスの作成 - 個人に関連付けられている属性が格納されているオブジェクト・クラスを指定します。
RDN属性 - 相対識別名属性を指定します。たとえば、cnです。
ID属性 - ユーザーを一意に識別する属性を指定します。uid属性やloginid属性などです。
ノート:
OAMでは、複数値uidはサポートされていません。OUDプロキシ・シナリオでは、uidまたはloginidは単一の値である必要があります。フィルタ・オブジェクト・クラス - フィルタ条件にするオブジェクト・クラスを指定します。
属性構成 - ユーザー・プロファイル・サービス・プロバイダによる使用と検索を可能にするユーザーの属性を指定します。
使用中 - 属性が、ディレクトリ・サービスでユーザーに対して使用されている場合に指定します。
属性名 - 「エンティティ属性」タブで定義した属性の名前を指定します。
結果内 - 指定した属性を、検索結果で返す必要がある場合に選択します。
検索可能 - 指定した属性を検索操作に対して使用可能にする場合に選択します。
検索演算子 - 指定した属性の検索方法を制限するには、このメニューから検索演算子を選択します。
操作構成 - ユーザー・エンティティ・レベルで有効にする操作を「作成」、「更新」、「削除」、および「検索」から選択します。これらを無効にするには、オプション・ボックスをクリアします。
エンティティ/グループのプロパティ - 「グループ」副項目のフィールドを使用して、Mobile and SocialがLDAPサーバー上のグループ・エンティティと相互作用する方法を構成します。
ベースの作成 - ユーザーを定義するベースDN (LDAPディレクトリ・ツリーの最上位レベル)を指定します。
検索ベース - グループの検索ベースDNを指定します。検索操作が処理されるときは、検索ベースDNにあるかそれより下のエントリのみが対象になります。
オブジェクト・クラスの作成 - グループに関連付けられている属性が格納されているオブジェクト・クラスを指定します。
RDN属性 - 相対識別名属性を指定します。たとえば、cnです。
ID属性 - グループを一意に識別するLDAP属性を指定します。
フィルタ・オブジェクト・クラス - フィルタ条件にするオブジェクト・クラスを指定します。
属性構成 - ユーザー・プロファイル・サービス・プロバイダによる使用と検索を可能にするグループ属性を指定します。
使用中 - 属性が、ディレクトリ・サービスでユーザーに対して使用されている場合に指定します。
属性名 - 「エンティティ属性」タブで定義した属性の名前を指定します。
結果内 - 指定した属性を、検索結果で返す必要がある場合に選択します。
検索可能 - 指定した属性を検索操作に対して使用可能にする場合に選択します。
検索演算子 - 指定した属性の検索方法を制限するには、このメニューから検索演算子を選択します。
操作構成 - グループ・エンティティ・レベルで有効にする操作を「作成」、「更新」、「削除」、および「検索」から選択します。これらを無効にするには、オプション・ボックスをクリアします。
関係 - このタブのフィールドを使用して、このアイデンティティ・ディレクトリ・サービスの属性間の関係を構成します。
名前 - 関係の名前。
エンティティ(から) - 「ユーザー」を選択してユーザー属性から選択するか、「グループ」を選択して、属性(から)列のグループ属性から選択します。
属性(から) - マッピング元にする属性を選択します。
リレーション - 「開始」列で指定した属性と「終了」列で指定した属性間の関係を説明するメニューオプションを選択します。
エンティティ(に) - 「ユーザー」を選択してユーザー属性から選択するか、「グループ」を選択して、属性(に)列のグループ属性から選択します。
属性(に) - マッピング先にする属性を選択します。
再帰的 - 関係をディレクトリ・ツリーの下方向に拡張してネストされた子エンティティを含めるか、ディレクトリ・ツリーを上方向に拡張して親エンティティを含める場合に選択します。
関係構成 - アイデンティティ・ディレクトリ・サービスの対応する列にアクセスするために使用するURIセグメントを入力します。新しい関係を追加するには「追加」を、構成済の関係を削除するには「削除」を使用します。
アクセスURI - アイデンティティ・ディレクトリ・サービスの対応するデータ列にアクセスするために使用するURIセグメントを入力します。たとえば、memberOf
がアクセスURIである場合は、
http://host:port/.../idX/memberOf
が、ID idX
を持つエンティティの関連エンティティにアクセスするためのURIです。
アイデンティティ・ディレクトリ・サービスの関係 - 「アクセスURI」セグメントによってアクセスされるディレクトリ・サービス関係を選択します。アイデンティティ・ディレクトリ・サービスが、事前構成済のUserProfileアイデンティティ・プロバイダではない場合、「アイデンティティ・ディレクトリ・サービス」構成セクションの「関係」タブで関係を構成できます。(UserProfileサービス・プロバイダに対してはアイデンティティ・ディレクトリ・サービス関係を構成できません。)
エンティティURI属性 - Mobile and Socialサーバーから送信されるURIレスポンスで使用されるJSON属性名を入力します。たとえば、指定されているエンティティURI属性がperson-uriである場合、URIレスポンスは次のようになります。
{ {"person-uri":uriY1, ...}, {"person-uri":uriY2, ...}, ... }
ここで、 uriY1
およびuriY2
は、関連エンティティのそれぞれにアクセスするための直接URIです。
再帰型をリクエストするスコープ - 関係検索で、ネストされたレベルの属性を取得するには、スコープ属性値をスコープ問合せパラメータとともに使用します。再帰的に関連エンティティにアクセスするには、使用する値を入力します。Mobile and Socialのデフォルト構成では、toTop
とall
の2つのスコープ属性値が使用されます。「再帰型をリクエストするスコープ」の値が属性値all
である場合、次のREST URIの例が使用されてリクエストが実行されます。
http://host:port/.../idX/reports?scope=all
この例では、URIによって、ID idX
を持つエンティティに関連するエンティティが、それに続いて関連しているエンティティすべてとともに返されます。
フォーム入力アプリケーションのアイデンティティ・ディレクトリ・サービス・プロファイルを作成するには、「ユーザー・アイデンティティ・ストア」コンソール・ページの左側にある「フォーム入力アプリケーションIDSプロファイルの作成」ボタンをクリックします。
(図5-3を参照してください。)
「Identity Directory Serviceプロファイルの作成」および「アイデンティティ・ディレクトリ・サービス・プロファイルの編集または削除」には、ほとんどのフォーム入力属性の定義が示されています。このタイプのプロファイルに固有の「エンティティ検索ベース」セクションの追加定義を次に示します。
ユーザー検索ベース: エンタープライズ・ユーザーが格納されるディレクトリ内のノードのフルDN (cn=Users,realm_DNなど)。
アプリケーション・テンプレート検索ベース: アプリケーション・テンプレートの検索が開始されるノードのフルDN。
上位検索ベース: 検索が開始されるノードのフルDN (cn=realm_DNなど)。