28.5 OpenSSOエージェントのリモート登録の実行

この項では、オラクル社提供のツールoamregを使用したリモート登録について簡単に説明します。この項の内容は、次のとおりです。

• OpenSSOエージェントのリモート登録用リクエスト・テンプレート

• OpenSSOブートストラップ構成マッピング

• OpenSSOエージェントの帯域内リモート登録の実行

• OpenSSOエージェントの帯域外リモート登録の実行

28.5.1 OpenSSOエージェントのリモート登録用リクエスト・テンプレート

各OpenSSOエージェントは、アプリケーションに対するリクエストを捕捉することで、これらのアプリケーションへのアクセスを制限します。OpenSSOエージェント・プロビジョニングとは、OpenSSOエージェントをAccess Managerに登録するプロセスです。

inbandとoutofbandのどちらのリモート登録モードにも、表28-8に示した入力引数を含むリクエスト・ファイルが必要になります

表28-8 リモート登録用のOpenSSOリクエスト・ファイル

テンプレートの対象	説明
OpenSSOエージェントの登録	$OAM_REG_HOME/input/OpenSSORequest.xml $OAM_REG_HOME/input/OpenSSORequest_short.xml 短縮リクエストでoamregを実行する場合、拡張リクエスト内のみにある要素に対しては、デフォルト値が自動的に適用されます。
その他のテンプレート
エージェントの更新:	$OAM_REG_HOME/input/OpenSSOUpdateAgentRequest.xml 関連項目: 「エージェントのリモート更新」
ポリシーの作成: エージェントを登録せずに新しいホスト識別子とアプリケーション・ドメインを作成	$OAM_REG_HOME/input/CreatePolicyRequest.xml 関連項目: 「ポリシーおよびアプリケーション・ドメインのリモート管理」
ポリシーの更新: 既存のホスト識別子と、(エージェント登録に関連付けられていない)アプリケーション・ドメイン	$OAM_REG_HOME/input/UpdatePolicyRequest.xml 関連項目: 「ポリシーおよびアプリケーション・ドメインのリモート管理」

OpenSSOエージェントのリモート登録では、次の処理が自動的に行われます。

• Oracle Access Managementコンソール用のエージェント・ページの作成

• アプリケーションを保護するためのアプリケーション・ドメインと基本ポリシーの作成

• エージェントが実行時に使用する、クライアント上のOpenSSOプロパティ・ファイルの作成

OpenSSOエージェントのリクエスト・テンプレートの要素については、表28-9を参照してください。特に明記しないかぎり、短縮版と拡張版の両方のリクエスト・ファイル内にすべての要素が存在します。

表28-9 OpenSSOエージェントのリモート登録リクエスト

要素	説明	例
<serverAddress> <agentName> <hostIdentifier> <agentBaseUrl> <autoCreatePolicy> <applicationDomain> <virtualhost>	すべてのリモート登録リクエスト・テンプレートに共通の要素。	表15-8を参照してください。
<agentType>	J2EEまたはWebタイプのOpenSSOエージェントのどちらかを選択します。	<agentType>WEB</agentType>
パスワード パスワードの再入力	このOpenSSOエージェントの必須かつ一意のパスワードで、この登録プロセス中に割り当てられています。このエントリは不明瞭化された形式で、コンソール、oam-config.xml、OpenSSOAgentBootstrap.propertiesに表示されます。 登録されたエージェントがOAM SServerに接続すると、ユーザーはパスワードを入力するよう求められます。パスワードにより、認証時に認可されていないエージェントが接続してポリシー情報を取得するのを防ぎます。	リモート登録時にパスワードを入力するように求められます。これはテンプレートには表示されません。
拡張されたOpenSSOテンプレートのみ
<agentDebugDir>	<debug>をtrueに設定すると、記録されたエージェント・メッセージへのディレクトリ・パスを構成できます。 デフォルト: なし 関連項目: 「コンポーネント・イベント・メッセージのロギング」	<agentDebugDir>/scratch/debug</agentDebugDir>
<agentAuditDir>	OAMサーバーから次の監査ログへのディレクトリ・パスを定義します。 ログイン・イベントの監査 ログアウト成功イベントの監査 関連項目: 「管理イベントおよびランタイム・イベントの監査」	<agentAuditDir>/scratch/audit</agentAuditDir>
<agentAuditFileName>	監査ログ・ファイル名を定義します。	<agentAuditFileName>audit.log</agentAuditFileName>
<debug>	trueに設定すると、OAMサーバーは次のイベントに関するメッセージを記録します。 ログイン成功およびログイン失敗イベント ログアウト成功およびログアウト失敗イベント 様々なロギング・レベル(FATAL、ERROR、WARNING、DEBUG、TRACE)のログ・メッセージ。降順でそれぞれが重大度を示しています。 デフォルト: false 関連項目: 「コンポーネント・イベント・メッセージのロギング」	<debug>false</debug>
<cookieName>	Cookieの名前。OpenSSOプロキシがセッションの検証をトリガーした後に、エージェントがこのCookieを検出します。 エンド・ユーザーの持つ有効なCookieは次のとおりです。 OAM_ID cookie (エージェント認証後のエンド・ユーザー・セッションを表します)。 OpenSSO Cookie	<cookieName>iPlanetDirectoryPro</cookieName>
<accessDeniedUrl>	アクセスが拒否された場合、ユーザーはこのURLにリダイレクトされます。	<accessDeniedUrl></accessDeniedUrl>
<protectedAuthnScheme>	認証ポリシーで使用する認証スキームを指定します。 アップグレード済の環境の場合、新しく登録するOSSOエージェントの保護されたリソース・ポリシーには、SSOCoExistMigrateSchemeを使用してください。	<protectedAuthnScheme></protectedAuthnScheme>

28.5.2 OpenSSOブートストラップ構成マッピング

この項では、OpenSSOのブートストラップ構成マッピングについて説明します。

• 表28-10

• 表28-11

表28-10 J2EEリクエスト・ファイルのプロパティ・ファイルに対するマッピング

プロパティ名	デフォルト値	サンプルの値
com.iplanet.am.naming.url	入力XMLより<serverAddress>/opensso/namingservice	http://example.com:7575/opensso/namingservice
com.sun.identity.agents.app.username	入力XMLより<agentName>	<Agent registration ID>
com.iplanet.am.service.secret	入力XMLより<agentPassword> ノート: これは入力XMLファイルの一部としては収集されるのではなく、リモート登録ツールにより入力を求められます。	<Encrypted Agent registration ID password>
com.iplanet.services.debug.directory	入力XMLより<agentDebugDir>	/opt/30j2ee/j2ee_agents/tomcat_v6_agent/Agent_001/logs/debug
com.sun.identity.agents.config.local.logfile	入力XMLより<agentAuditDir>/<agentAuditFileName>	/opt/30j2ee/j2ee_agents/tomcat_v6_agent/Agent_001/logs/audit/amAgent_example_com_7676.log
com.sun.identity.agents.config.organization.name	入力XMLより<realmName> ノート: これは、入力XMLファイルから収集する<hostIdentifier>の値です。明示的に指定していない場合は、デフォルトで<agentName>とみなされます。
com.sun.identity.agents.config.profilename	入力XMLより<agentName>	<Agent registration ID>
リモート登録ファイルに含まれないプロパティ
com.iplanet.am.naming.url	該当なし	該当なし
com.sun.identity.agents.config.service.resolver	該当なし	該当なし
com.sun.services.debug.mergeall	該当なし	該当なし
com.sun.identity.agents.config.lock.enable	FALSE 該当なし	該当なし
am.encryption.pwd	該当なし	該当なし

表28-11に、Webエージェント・リクエスト・ファイルとプロパティ・ファイルの間のマッピングを示します。

表28-11 Webリクエスト・ファイルのプロパティ・ファイルに対するマッピング

プロパティ名	デフォルト値	サンプルの値
com.iplanet.am.naming.url	入力XMLより<serverAddress>/<serverAddress>/opensso/namingservice	http://example.com:7575/opensso/namingservice
com.sun.identity.agents.config.username	入力XMLより<agentName>	<Agent profile ID>
com.sun.identity.agents.config.password	入力XMLより<agentPassword> ノート: これは入力XMLファイルの一部としては収集されるのではなく、リモート登録ツールにより入力を求められます。	<Encrypted Agent registration ID password>
com.iplanet.services.debug.directory	入力XMLより<agentDebugDir>	/opt/30j2ee/j2ee_agents/tomcat_v6_agent/Agent_001/logs/debug
com.sun.identity.agents.config.local.logfile	入力XMLより<agentAuditDir>/<agentAuditFileName>	/opt/30j2ee/j2ee_agents/tomcat_v6_agent/Agent_001/logs/audit/amAgent_redsky_red_iplanet_com_7676.log
com.sun.identity.agents.config.organization.name	入力XMLより<realmName> ノート: これは、入力XMLから収集する<hostIdentifier>の値です。ステータス: オープン、固定またはクローズ済
com.sun.identity.agents.config.profilename	入力XMLより<agentName>

28.5.3 OpenSSOエージェントの帯域内リモート登録の実行

ここでは、OpenSSOエージェントの帯域内リモート登録を実行するために必要なタスクについて簡単に説明します。

前提条件

「OAMリモート登録」

タスクの概要: リモート登録を実行する帯域内の管理者

1. 登録ツールを入手して環境変数を設定します(「リモート登録ツールの取得および設定」を参照してください)。

   $ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz 
   

2. エージェントおよびアプリケーション・ドメインの一意の値で入力ファイルを作成します(「リモート登録リクエストの作成」を参照してください)。
   • 作成元: OpenSSORequest.xml
   • 作成先: myopenssoagent_request.xml
3. 登録ツールを実行してエージェントを構成し、リソースのデフォルトのアプリケーション・ドメインを作成して、更新したエージェント構成ファイルをコピーします(「帯域内リモート登録の実行」を参照してください)。

   コピー元: コンソール・ホスト(AdminServer)

   /rreg/output/Agent_Name/

   • OpenSSOAgentBootstrap.properties

   • OpenSSOAgentConfiguration.properties

   OpenSSOエージェント・ホストWebサーバー: $OHS_dir/configにコピーします。次に例を示します。

   • $WebTier_MW_HOME/Oracle_WT1/instances1/config/OHS/ohs1/config/
4. 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
5. アクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。

28.5.4 OpenSSOエージェントの帯域外リモート登録の実行

ここでは、OpenSSOエージェントの帯域外リモート登録を実行するために必要なタスクについて簡単に説明しています。

前提条件

「OAMリモート登録」

タスクの概要: 帯域外リモート登録(ネットワーク外のエージェント)

1. 帯域外の管理者の手順: 特定のアプリケーションおよびエージェントの詳細を含む開始リクエストの入力ファイルを作成し、帯域内の管理者に送信します。

   • 登録ツールを入手して環境変数を設定します(「リモート登録ツールの取得および設定」を参照してください)。

     $ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz 
     

   • テンプレートをコピーおよび編集して、エージェントおよびアプリケーション・ドメインの一意の値を入力します(「リモート登録リクエストの作成」を参照してください)。

     $OAM_REG_HOME/input/OpenSSORequest.xml
     

   • 選択した方法(電子メールまたはファイル転送)を使用して、開始リクエストの入力ファイルを帯域内の管理者に送信します。

2. 帯域内の管理者の手順:

   • 登録ツールを入手して環境変数を設定します(「リモート登録ツールの取得および設定」を参照してください)。

     $ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz 
     

   • 登録ツールで帯域外の開始リクエストを使用してエージェントを登録し、帯域外の管理者に戻すレスポンスおよびネイティブ・エージェントの構成ファイルを作成します。「帯域外リモート登録の実行」を参照してください。

     • opensso_Response.xmlは、帯域外の管理者がステップ3で使用するために生成されます。

     • OpenSSOプロパティ・ファイルは、帯域外の管理者がOSSOモジュールをブートストラップできるように変更します。

3. 帯域外の管理者: レスポンス・ファイルと登録ツールを使用して、アーティファクトをファイル・システムの適切なディレクトリにコピーします。

   • opensso_Response.xml。

   • opensso....propertiesファイル

4. 帯域内の管理者の手順: 構成を検証します(「リモート登録およびリソース保護の検証」を参照してください)。
5. 帯域外の管理者の手順: いくつかのアクセス・チェックを実行して構成が有効なことを検証します(「リモート登録後の認証およびアクセスの検証」を参照してください)。