25.2 アプリケーション・ドメインおよびポリシーの作成の概要

アプリケーション・ドメインは、Access Manager 11gポリシー・モデルの最上位の構造です。各アプリケーション・ドメインでは、リソースまたはリソースのセットに対する論理コンテナと、特定の保護リソースにアクセスできるユーザーを示す、関連付けられたポリシーが提供されます。

各アプリケーション・ドメイン内では、特定の共有コンポーネントが使用されます。各アプリケーション・ドメインは、特定のホスト上の単一のアプリケーションを表します。または、管理者が、同じWebサーバー上にあって互いに緊密に連携しているリソースに対してそれぞれ異なるアプリケーション・ドメインを定義できます。たとえば、管理者は、財務アプリケーションおよび売掛金勘定アプリケーション用に単一のアプリケーション・ドメインを作成することも、各アプリケーション用に異なるアプリケーション・ドメインを使用することもできます。構成可能なポリシーを使用して、リソースへのアクセスを許可または拒否できます。

ノート:

セキュリティ強化のため、Access Managerは、デフォルトで、リソースがアクセスを明示的に許可するポリシーによって保護されていない場合、アクセスを拒否します。

各Access Managerのアプリケーション・ドメインには次の情報が含まれています。

• リソース定義

  アプリケーション・ドメインの各リソース定義には、リソース・タイプ、ホスト識別子(HTTPリソースの場合)および特定のリソースへのURLが必要です。アプリケーション・ドメインには必要なだけリソース定義を含めることができます。

• 認証ポリシーおよび特定のリソースへのレスポンス

  それぞれの認証ポリシーには、一意の名前、ひとつの認証スキーム、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソース、認証が成功した後に適用される管理者が定義したレスポンスが含まれます。

  ノート:

  認証または認可の成功と失敗に指定されたポリシーのレスポンスに応じて、エンド・ユーザー特定のURLにリダイレクトされたり、ユーザー情報がヘッダー変数やcookieの値を通じて他のアプリケーションに渡されることがあります。

• 特定のリソースに対する認可ポリシー、条件、ルールおよびレスポンス

  それぞれの認可ポリシーには、一意の名前、成功および失敗のURL、このポリシーが適用される1つまたは複数のリソースが含まれます。さらに、管理者は認可が成功するために満たされなければならない特定の条件と、認可が成功した後で適用されるレスポンスを定義できます。

• ポリシー順序付け

  ポリシー順序付けとは、同じアプリケーション・ドメイン内のポリシーが保護リソースへのアクセス着信リクエストと一致する順序を管理者が手動で指定できる新しい機能です。以前のバージョンのAccess Managerでは、この目的における最善一致アルゴリズムが使用されていました。

新しいアプリケーションを既存のエージェントの背後に配置する場合、管理者は、アプリケーションを個別の(新しい)アプリケーション・ドメインおよびポリシーで保護するのか、既存のアプリケーション・ドメインおよびポリシーで保護するのかを決定する必要があります。この項には、次の項の情報が含まれています。

• アプリケーション・ドメインおよびポリシーの自動生成について

• アプリケーション・ドメインとポリシーのリモート管理について

• アプリケーション・ドメインおよびポリシーの作成または管理

25.2.1 アプリケーション・ドメインおよびポリシーの自動生成について

Access Managerでポリシー強制エージェントを登録するときに、ドメインとポリシーを自動生成することを選択(または拒否)できます。

自動的に作成されるアプリケーション・ドメインには、エージェントに基づく名前が付けられ、デフォルトのリソースおよび基本ポリシー(認証および認可)でシードされます。空のコンテナが提供されますが、トークン発行ポリシーは定義されません。

エージェントの登録中、保護するアプリケーションと同じWebサーバー上にエージェントがあると仮定します。ただし、エージェントをプロキシWebサーバー、アプリケーションを異なるホストに配置できます。デフォルトのリソースは、管理者がリソースを追加したり、ポリシーを変更または追加するまで、基本ポリシーによって保護されます。

ノート:

IAMSuiteAgentは、Oracle Fusion Middlewareコンソールやその他のコンソールを保護するためのアプリケーション・ドメイン(IAMSuite)を提供する、事前登録されたJavaエージェント・フィルタです。詳細は、「バンドルされる10g IAMSuiteAgentアーティファクト」を参照してください。

25.2.2 アプリケーション・ドメインとポリシーのリモート管理について

Access Managerには、付属のエージェントを登録または変更せずにアプリケーション・ドメインとそのポリシーを管理する2つのモードがあります。

リモート・ポリシーおよびアプリケーション・ドメイン管理でサポートされるのは、作成および更新の機能のみです。リモート管理では、アプリケーション・ドメインやポリシーの削除はサポートされていません。詳細は、「ポリシーおよびアプリケーション・ドメインのリモート管理の理解」を参照してください。

25.2.3 アプリケーション・ドメインおよびポリシーの作成または管理

ここでは、アプリケーション・ドメインおよびポリシーを手動で作成または管理するために必要な手順の概要を示します。

アプリケーション・ドメインを作成または管理するには、次のようにします。

1. 次の詳細を理解します。

   • Access Managerでのシングル・サインオンの理解

   • 認証コンポーネントと共有ポリシー・コンポーネントの管理

   • アプリケーション・ドメインおよびポリシーの管理の理解

   • ポリシーおよびアプリケーション・ドメインのリモート管理の理解

2. 次の項の説明に従って、この章の前提タスクをすべて実行します。

   • ポリシーの管理およびリソースの保護のための前提条件

3. 次の項の説明に従って、新しいアプリケーション・ドメインを作成します(または既存のアプリケーション・ドメインを表示します)。

   • 新しいアプリケーション・ドメインの作成

   • アプリケーション・ドメインの表示または編集

   • ポリシーおよびアプリケーション・ドメインのリモート管理

4. 次の項の説明に従って、リソース定義をアプリケーション・ドメインに追加します。

   • ポリシー・リソース定義の追加および管理

5. 次の項の説明に従って、認証ポリシーを定義します。

   • 特定のリソース用の認証ポリシーの作成

   • SSOのポリシー・レスポンスの追加および管理

6. 次の項の説明に従って、認可ポリシーを定義します。

   • 認可ポリシーおよび特定のリソースの作成

   • SSOのポリシー・レスポンスの追加および管理

   • 認可ポリシー条件の定義

   • 認可ポリシー・ルールの定義

7. 次の項の説明に従って、トークン発行ポリシーを定義します。

   • テンプレート、エンドポイントおよびポリシーの管理: トークン発行ポリシーおよび条件の管理

   • SSOのポリシー・レスポンスの追加および管理

   • 認可ポリシー条件の定義

   • 認可ポリシー・ルールの定義

8. 次の項の説明に従って、SSO設定およびポリシー評価キャッシュを構成します。

   • Access Managerの設定の構成: 「SSOトークンとIPの検証の管理」

   • Access Managerの設定の構成: 実行時のポリシー評価キャッシュの管理

9. 次の項の説明に従って、ポリシーおよび構成を検証します。

   • 11g Webゲートが関与するセッションの集中ログアウトの構成: グローバル・サインオンと集中ログアウトの検証