| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
認可時にOAMサーバーとWebgate間の簡易または証明書ベースの通信のための証明書として使用するために、Javaキーストアが設定されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。
この項では次のトピックを記載しています:
キーストアは、Access Managerのインストール時に作成および構成されます。パスワードおよびキー・エントリのパスワードはランダムに生成されます。
推奨のキーストア・フォーマットはJKS (Javaキーストア)です。Javaキーストアは水面下でAccess Managerに関連付けられ、エージェント・トラフィックおよびセッション・トークンを暗号化するために生成される暗号化セキュリティ・キーの格納に使用されます。
すべてのOAMエージェントおよびOSSOエージェントは、他のエージェントが読み取ることができない秘密キーを持っています。
Oracle Coherenceベースのセッション・トラフィックを暗号化するキーがあります。
エージェントとアプリケーションの登録時に、SSO Cookie (Webgateおよびmod_ossoの場合)の暗号化および復号化に使用されるキーが生成されます。
管理者は、「通信の保護」で説明されているように、Oracleが提供するimportcertツールをキーストア、キーおよび証明書に関連する様々な手順で使用します。
WLSTのresetKeystorePasswordメソッドを使用すると、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードが設定されたキー・エントリに新しい値を設定できます。『WebLogic Server WLSTコマンド・リファレンス』を参照してください。
表5-5に、生成されるAccess Manager暗号化キーを示します。
表5-5 Access Managerキーと格納
| キーと格納 | 説明 |
|---|---|
Access Manager暗号化キー |
|
キー・ストレージ |
|
キーストアには、Oracle Access Managementコンソールからアクセスできません。キーストアと証明書は、「通信の保護」で説明されているように管理できます。
関連項目:
SSL自動化ツールと、WebLogic Server、Oracle HTTP ServerおよびOracle Fusion Middleware用ポートの管理の詳細は、『Oracle Fusion Middlewareの管理』を参照してください。
Access ManagerおよびSecurity Token Serviceのキーストアは、Access Mangerのインストール時に作成および構成されます。
表5-6に、Access Managerに対して使用されるキーストアの概要を示します。
表5-6 Access Managerとセキュリティ・トークン・サービスのキーストア
| キーストア | 説明 |
|---|---|
システム・キーストア/パートナ・キーストア .oamkeystore |
OAM Serverインスタンスに関連付けられたキーおよび証明書のコンテナ(署名および暗号化のためのOAM秘密キーとセキュリティ・トークン・サービス秘密キー)。 パートナ、クライアントおよびエージェントとの信頼性を確立するために使用されるキーおよび証明書のコンテナ。パートナ・キーおよび証明書は、機密情報が暗号化されて.oamkeystoreに格納されます。 JCEKSタイプのシステム・キーストア.oamkeystoreのみが存在することが可能です。 $ 証明書の別名とパスワードは、Oracle Access Managementコンソールを使用して構成できます。 関連項目: |
信頼キーストア amtrustkeystore |
信頼キーストアは、OAMサーバー・インスタンスと相互作用するエンティティに信頼性を確立するためにクライアントにより提供されるキーおよび証明書の検証に使用されます。 $ amtruststoreはインストール時に作成され、少なくとも1つの信頼できるアンカーを含める必要があります。 信頼キーストアは、JREのkeytoolアプリケーションを使用して管理されます。セキュリティ・トークン・サービスではカスタム信頼キーストアを使用できます。 関連項目: |
証明書失効リスト(CRL) amcrl.jar |
証明書失効情報リストは、ファイルシステム上のZIPアーカイブに格納されます。これらは、CRLベースの証明書失効確認の実行中に、OAMサーバーによって使用されます。 amcrl.jarには、DER形式のCRLファイルが含まれます。
OAM Serverでは、キーストアおよびCRL Zipファイルの通知リスナーが定義されます。これらのファイルを変更すると、セキュリティ・トークン・サービスでは、再起動しなくてもキーストア/crl-zipが実行時にリロードされます。 amcrl.jarは、インストールにより作成され、Oracle Access Managementコンソールを使用して変更できます。 関連項目: |
Oracle WSMエージェント・キーストア default-keystore.jks |
Oracle WSMエージェントは、様々な暗号化操作のためにこのキーストアを使用します。これらの操作では、Oracle WSMエージェントはOracle WSMタスク用に構成されたキーストアを使用します。 Oracle WSMエージェント・キーストアとAccess ManagerおよびSecurity Token Serviceのキーストアは常に異なるものにすることをお薦めします。そのようにしないと、キーはOPSSによって認可された任意のモジュールでキーストアへのアクセスに使用できるようになり、Access Manager/Security Token Serviceがアクセスされる可能性があります。 関連項目: 「Oracle Web Services Managerのキーストア(default-keystore.jks)について」 |
OPSSキーストア |
(Webサービス・リクエストの一部として受信される証明書トークンとは対照的に)クライアントがSKIなどの参照スキームを使用する特別な場合、リクエスタの証明書をOPSSキーストアに移入する必要があります。 これは、キーをOPSSキーストアに手動でプロビジョニングする必要がある、一般的ではないシナリオです。 関連項目:
|
.cohstore.jks |
これは、Coherenceノード間のSSL通信の暗号化に使用されるSSLキーと証明書の格納に使用されます。Coherence通信の保護については、Oracle Coherenceセキュリティ・ガイドを参照してください。 |
Identity FederationとAccess Managerは、デジタル署名と暗号化に使用するキー・ペアと証明書を格納します。
Identity Federationは、次のことを実行する際にキーを使用します。
送信アサーションの署名
SAMLメッセージに含まれる着信XML暗号化データの復号化
次のキーストアは、暗号化証明書と署名証明書の格納に使用されます。
$DOMAIN_HOME/config/fmwconfig/.oamkeystore
Identity Federationは、CSFを使用してキーストア・パスワードと、サーバーの資格証明(HTTP Basic認証のユーザー名とパスワードなど)を安全に格納します。
