Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
アプリケーション・ドメインは、Access Manager 11gポリシー・モデルの最上位の構造です。各アプリケーション・ドメインでは、リソースまたはリソースのセットに対する論理コンテナと、特定の保護リソースにアクセスできるユーザーを示す、関連付けられたポリシーが提供されます。
各アプリケーション・ドメイン内では、特定の共有コンポーネントが使用されます。各アプリケーション・ドメインは、特定のホスト上の単一のアプリケーションを表します。または、管理者が、同じWebサーバー上にあって互いに緊密に連携しているリソースに対してそれぞれ異なるアプリケーション・ドメインを定義できます。たとえば、管理者は、財務アプリケーションおよび売掛金勘定アプリケーション用に単一のアプリケーション・ドメインを作成することも、各アプリケーション用に異なるアプリケーション・ドメインを使用することもできます。構成可能なポリシーを使用して、リソースへのアクセスを許可または拒否できます。
ノート:
セキュリティ強化のため、Access Managerは、デフォルトで、リソースがアクセスを明示的に許可するポリシーによって保護されていない場合、アクセスを拒否します。
各Access Managerのアプリケーション・ドメインには次の情報が含まれています。
リソース定義
アプリケーション・ドメインの各リソース定義には、リソース・タイプ、ホスト識別子(HTTPリソースの場合)および特定のリソースへのURLが必要です。アプリケーション・ドメインには必要なだけリソース定義を含めることができます。
認証ポリシーおよび特定のリソースへのレスポンス
それぞれの認証ポリシーには、一意の名前、ひとつの認証スキーム、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソース、認証が成功した後に適用される管理者が定義したレスポンスが含まれます。
ノート:
認証または認可の成功と失敗に指定されたポリシーのレスポンスに応じて、エンド・ユーザー特定のURLにリダイレクトされたり、ユーザー情報がヘッダー変数やcookieの値を通じて他のアプリケーションに渡されることがあります。
特定のリソースに対する認可ポリシー、条件、ルールおよびレスポンス
それぞれの認可ポリシーには、一意の名前、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソースが含まれます。さらに、管理者は認可が成功するために満たされなければならない特定の条件と、認可が成功した後で適用されるレスポンスを定義できます。
ポリシー順序付け
ポリシー順序付けとは、同じアプリケーション・ドメイン内のポリシーが保護リソースへのアクセス着信リクエストと一致する順序を管理者が手動で指定できる新しい機能です。以前のバージョンのAccess Managerでは、この目的における最善一致アルゴリズムが使用されていました。
新しいアプリケーションを既存のエージェントの背後に配置する場合、管理者は、アプリケーションを個別の(新しい)アプリケーション・ドメインおよびポリシーで保護するのか、既存のアプリケーション・ドメインおよびポリシーで保護するのかを決定する必要があります。この項には、次の項の情報が含まれています。
Access Managerでポリシー強制エージェントを登録するときに、ドメインとポリシーを自動生成することを選択(または拒否)できます。
自動的に作成されるアプリケーション・ドメインには、エージェントに基づく名前が付けられ、デフォルトのリソースおよび基本ポリシー(認証および認可)でシードされます。空のコンテナが提供されますが、トークン発行ポリシーは定義されません。
エージェントの登録中、保護するアプリケーションと同じWebサーバー上にエージェントがあると仮定します。ただし、エージェントをプロキシWebサーバー、アプリケーションを異なるホストに配置できます。デフォルトのリソースは、管理者がリソースを追加したり、ポリシーを変更または追加するまで、基本ポリシーによって保護されます。
ノート:
IAMSuiteAgentは、Oracle Fusion Middlewareコンソールやその他のコンソールを保護するためのアプリケーション・ドメイン(IAMSuite)を提供する、事前登録されたJavaエージェント・フィルタです。詳細は、「バンドルされる10g IAMSuiteAgentアーティファクト」を参照してください。
Access Managerには、付属のエージェントを登録または変更せずにアプリケーション・ドメインとそのポリシーを管理する2つのモードがあります。
リモート・ポリシーおよびアプリケーション・ドメイン管理でサポートされるのは、作成および更新の機能のみです。リモート管理では、アプリケーション・ドメインやポリシーの削除はサポートされていません。詳細は、「ポリシーおよびアプリケーション・ドメインのリモート管理の理解」を参照してください。