Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
JBoss固有のリソースの保護は、JBoss固有のタスクで、すべてのJBoss統合ユースケース(アプリケーション、WebサービスまたはEJBの保護)で必要です。
次の項では、JBossエージェント登録の作成(保護リソースの定義を含む)およびJBossエージェントで使用する認可ポリシーの構成方法を説明します。
Oracle Access Managementコンソールを使用し、自動ポリシー作成を設定してJBossエージェントを登録できます。リモート登録も使用できます。
リモート登録については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の各所を参照してください。
Access ManagerとJBoss Agentの通信には、オープン、簡易または証明書のセキュリティ・モードを使用できます。簡易モードまたは証明書モードを使用するようにJBossエージェントを構成すると、Java ASDKは同じモードで動作します。登録中、Oracle Access Managementコンソール・ホスト(AdminServer)でエージェント用に新しいファイル・システム・ディレクトリが作成されます。登録後、アーティファクトを次のエージェントのディレクトリ・パスにコピーします。
ObAccessClient.xml
password.xml(簡易モードまたは証明書モードのみ)
oamclient-keystore.jks - 『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のキーストアの設定に関する項を参照してください。
次の手順では、10g OAMエージェントの新しい登録を作成します。環境に応じて変数の値を置き換えてください。この例では、証明書モードを使用します。使用しているデプロイメントとは異なる場合があります。
JBossエージェントに固有のリソースを保護するためのカスタム認可ポリシーを作成し、ユーザー・グループをヘッダー変数として返すレスポンスを追加します。
たとえば、レスポンスにOAM_GROUPS
(値$user.groups
を含む)という名前を付けます。
ノート:
このカスタム認可ポリシーでは、このポリシーの単一の目的が認可ユーザーにレスポンスを提供することであるため、成功と失敗のリダイレクトURLは不要です。リダイレクトURLが提供されても、JBossエージェントまたはログイン・モジュールのロジックの処理ではリダイレクトは発生しません。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「起動パッド」タブで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
「JBoss」ドメインを検索し、編集のために開きます。
認可ポリシー:
「認可ポリシー」ノードをクリックし、「作成」(+)ボタンをクリックします。
「サマリー」タブの「名前」フィールドに一意の名前を入力します。次に例を示します。
カスタム認可ポリシー
リソースの追加: JBossエージェント固有のリソースは、エージェント登録中に定義されました。
「認可ポリシー」ページの「リソース」タブをクリックします。
「追加」(+)ボタンをクリックします。
「検索」ボタンをクリックします。
リストからURLを選択し、「選択済の追加」をクリックします。
/Authen/Basic
ステップaからdを繰り返して次の項目を追加します。
/Authen/SSOToken
「適用」をクリックします。
レスポンスの追加: 「レスポンス」タブをクリックし、「追加」(+)ボタンをクリックし、次の手順を実行します。
「名前」フィールドに、このレスポンスの一意の名前(OAM_GROUPS
)を入力します。
「タイプ」リストから、レスポンス・タイプ(「ヘッダー」)を選択します。
「値」フィールドに、このレスポンスの値を入力します。例: $user.groups
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
各デプロイメントのための適切なトピックに進みます。