58.5 JBoss固有のリソースの保護

JBoss固有のリソースの保護は、JBoss固有のタスクで、すべてのJBoss統合ユースケース(アプリケーション、WebサービスまたはEJBの保護)で必要です。

次の項では、JBossエージェント登録の作成(保護リソースの定義を含む)およびJBossエージェントで使用する認可ポリシーの構成方法を説明します。

• 自動ポリシー作成を使用したJBossエージェントの登録

• JBossリソース保護のためのカスタム・ポリシーの作成

58.5.1 自動ポリシー作成を使用したJBossエージェントの登録

Oracle Access Managementコンソールを使用し、自動ポリシー作成を設定してJBossエージェントを登録できます。リモート登録も使用できます。

リモート登録については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の各所を参照してください。

Access ManagerとJBoss Agentの通信には、オープン、簡易または証明書のセキュリティ・モードを使用できます。簡易モードまたは証明書モードを使用するようにJBossエージェントを構成すると、Java ASDKは同じモードで動作します。登録中、Oracle Access Managementコンソール・ホスト(AdminServer)でエージェント用に新しいファイル・システム・ディレクトリが作成されます。登録後、アーティファクトを次のエージェントのディレクトリ・パスにコピーします。

• ObAccessClient.xml

• password.xml(簡易モードまたは証明書モードのみ)

• oamclient-keystore.jks - 『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のキーストアの設定に関する項を参照してください。

次の手順では、10g OAMエージェントの新しい登録を作成します。環境に応じて変数の値を置き換えてください。この例では、証明書モードを使用します。使用しているデプロイメントとは異なる場合があります。

1. Oracle Access Managementコンソール(host 1)に移動し、管理者の資格証明を使用してログインします。次に例を示します。

   https://host1:port/oamconsole 
   User: adminuserID
   Password ********

2. ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
3. 「起動パッド」タブで、「クイック・スタート・ウィザード」セクションの「SSOエージェント登録」をクリックします。
4. エージェント・タイプとして「Webゲート」を選択し、「次」をクリックします。
5. 次の情報(および必要な詳細)を入力して、このOAMエージェントを登録します。次に例を示します。

   • 名前: JBoss

   • バージョン: 10g

   • セキュリティ: 証明書(『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照)

   • ユーザー定義パラメータ:

       logoutRedirectUrl=http://OAM_Server.domain.com:14100/oam/server/logout    
   

6. 保護されているリソース・リスト: この表で「追加」(+)ボタンをクリックして、デフォルトの認証ポリシーおよび認可ポリシーで保護するリソースを入力します。

   /Authen/Basic
   /Authen/SSOToken
   

7. ポリシーの自動作成: 選択して、新しいポリシーおよびアプリケーション・ドメインを作成します。
8. 「適用」をクリックして、登録を送信します。
9. 「確認」ウィンドウで、生成されたアーティファクトの場所を確認し、ウィンドウを閉じます。
10. ナビゲーション・ツリーで、エージェント名がリストされていることを確認します。
11. ObAccessClient.xmlをAdminServerからJBossエージェント・インストール・ディレクトリ・パスにコピーします。

    コピー元: $WLS_HOME/middleware/user_projects/domains/base_domain/output/AGENTNAME

    コピー先: D:\agentconfig

12. 「JBossリソース保護のためのカスタム・ポリシーの作成」に進みます。

58.5.2 JBossリソース保護のためのカスタム・ポリシーの作成

JBossエージェントに固有のリソースを保護するためのカスタム認可ポリシーを作成し、ユーザー・グループをヘッダー変数として返すレスポンスを追加します。

たとえば、レスポンスにOAM_GROUPS(値$user.groupsを含む)という名前を付けます。

ノート:

このカスタム認可ポリシーでは、このポリシーの単一の目的が認可ユーザーにレスポンスを提供することであるため、成功と失敗のリダイレクトURLは不要です。リダイレクトURLが提供されても、JBossエージェントまたはログイン・モジュールのロジックの処理ではリダイレクトは発生しません。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。

2. 「起動パッド」タブで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。

3. 「JBoss」ドメインを検索し、編集のために開きます。

4. 認可ポリシー:

   1. 「認可ポリシー」ノードをクリックし、「作成」(+)ボタンをクリックします。

   2. 「サマリー」タブの「名前」フィールドに一意の名前を入力します。次に例を示します。

      カスタム認可ポリシー

5. リソースの追加: JBossエージェント固有のリソースは、エージェント登録中に定義されました。

   1. 「認可ポリシー」ページの「リソース」タブをクリックします。

   2. 「追加」(+)ボタンをクリックします。

   3. 「検索」ボタンをクリックします。

   4. リストからURLを選択し、「選択済の追加」をクリックします。

      /Authen/Basic
      

   5. ステップaからdを繰り返して次の項目を追加します。

      /Authen/SSOToken
      

   6. 「適用」をクリックします。

6. レスポンスの追加: 「レスポンス」タブをクリックし、「追加」(+)ボタンをクリックし、次の手順を実行します。

   • 「名前」フィールドに、このレスポンスの一意の名前(OAM_GROUPS)を入力します。

   • 「タイプ」リストから、レスポンス・タイプ(「ヘッダー」)を選択します。

   • 「値」フィールドに、このレスポンスの値を入力します。例: $user.groups

7. 「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。

8. 各デプロイメントのための適切なトピックに進みます。

   • JBossエージェントによるWebアプリケーションの保護

   • EJBを保護するためのログイン・モジュールの構成

   • Webサービスへのアクセスを保護するためのログイン・モジュールの構成