25.3 アプリケーション・ドメインおよびポリシーの管理の理解

エージェントの登録時に、手動でアプリケーション・ドメインを作成しても、ポリシーの自動生成を受け入れても、アプリケーション・ドメインの要素は同じになります。すべてのポリシーおよびアプリケーション・ドメインは、Oracle Access Managementコンソールを使用して管理します。

詳細は、次のトピックを参照してください:

• アプリケーション・ドメインのページ

• アプリケーション・ドメインの「サマリー」ページ

• アプリケーションおよびアプリケーション・タイプ

• アプリケーション・ドメインのリソース・コンテナ

• 認証ポリシーのページ

• 認可ポリシーのページ

• トークン発行ポリシーのページ

25.3.1 アプリケーション・ドメインのページ

どの作成方法を選択してアプリケーション・ドメインを作成するかにかかわらず、一意の名前を識別子として使用する必要があります。「アプリケーション・ドメイン」をクリックすると、「検索」ページが表示されます。右上隅の「アプリケーション・ドメインの作成」ボタンを使用すると、新しいドメインの定義を開始できます。または、名前を入力し(または「名前」フィールドを空白のまま残し)、「検索」ボタンをクリックし、既存のアプリケーション・ドメインをリストします。

図25-1は、アプリケーション・ドメインの検索ページ、コントロール、および独自のツール・バーを含む「検索結果」表を示しています。

図25-1 アプリケーション・ドメインの検索ページ

「図25-1 アプリケーション・ドメインの検索ページ」の説明

25.3.2 アプリケーション・ドメインの「サマリー」ページ

検索結果で、アプリケーション・ドメインの名前をクリックすると、「サマリー」タブに、名前、オプションの説明、ポリシー順序付け構成が表示されます。

他の情報は次のタブに表示されます。

• リソース

• 認証ポリシー

• 認可ポリシー

• トークン発行ポリシー

• 管理

図25-2は、一般的な「アプリケーション・ドメイン」ページのスクリーンショットです。生成されたアプリケーション・ドメインの場合、次のように「名前」および「説明」が移入されます。手動でアプリケーション・ドメインを作成する場合、「説明」は管理者によって入力されます。

図25-2 アプリケーション・ドメインの「サマリー」ページの例

「図25-2 アプリケーション・ドメインの「サマリー」ページの例」の説明

25.3.3 アプリケーション・ドメインのリソース・コンテナ

アプリケーション・ドメインの「リソース」タブには、そのドメインのすべてのリソース定義のコンテナが表示されます。「リソース」タブをクリックして表示すると、特定の定義をすばやく検索できる「検索」コントロールが使用可能になります。

図25-3は、リソース定義の検索結果を絞り込むことができる「検索」コントロールを示しています。右上隅には「新規リソース」ボタンも表示されます。「検索結果」表では、検索された各定義の主要な情報が提供されます。

図25-3 アプリケーション・ドメインのリソースの検索結果

「図25-3 アプリケーション・ドメインのリソースの検索結果」の説明

デフォルトのリソース・タイプはHTTPですが、デフォルトのリソースURLは/**です。HTTPリソース定義を使用すると、そのリソース用に定義された問合せ文字列に基づいて検索を実行できます。この問合せ文字列に使用できるのはベースURLのみで、一連のURLを示すオプションのパターン一致特殊文字を含めることができます。この生成されたドメインでは、「ホスト識別子」が、登録されたHTTPエージェントの名前に一致します。ポリシーの基本情報も提供されます。

関連項目:

• 「ポリシー・リソース定義の追加および管理」

• バンドル、生成および移行されるアーティファクトの確認

25.3.4 認証ポリシーのページ

「認証ポリシー」タブでは、検索コントロールを使用することなく、定義または生成されたポリシーにアクセスできます。

管理者がアプリケーション・ドメインを手動で作成する場合、その管理者はポリシーもすべて手動で作成する必要があります。生成されたアプリケーション・ドメインでは、図25-5のように、2つの認証ポリシーが自動的に作成されます。

• 認証ポリシー: Protected Resource Policy

• 認証ポリシー: パブリック・リソース・ポリシー

図25-4 「認証ポリシー」タブ

「図25-4 「認証ポリシー」タブ」の説明

認証ポリシーがローカルなので、各ポリシーがポリシーで指定されたリソースにのみ適用されます。1つの認証ポリシーでのみ、各リソースを保護できます。

図25-5は、「保護されたリソース・ポリシー」、およびポリシーの「リソース」タブに自動的に表示される情報の列を示しています。「レスポンス」タブが使用可能です。

図25-5 「認証ポリシー」ページ: 「リソース」および「レスポンス」

「図25-5 「認証ポリシー」ページ: 「リソース」および「レスポンス」」の説明

ノート:

最初は、すべてのリソースが保護されます。成功および失敗URLとレスポンスを手動で追加する必要があり、デフォルト値は提供されません。

自動生成時に次のような説明が提供されます。

"Policy set during domain creation. Add resources to this policy to protect them." 

この生成されたポリシーでは、LDAPSchemeが認証スキームとして使用されます。ただし、ポリシーのオプション要素はまだ定義されていません。

保護されているリソースは、HostIdentifier/**として「リソース」タブで識別されます。

ノート:

管理者は、認証スキームの変更、成功URLと失敗URLの指定、他のリソースの追加およびSSOレスポンスの定義を行うことができます。

パブリック・リソース・ポリシー: 2つ目の認証ポリシーも自動生成されます。このポリシーでは、AnonymousSchemeが認証のデフォルト・スキームとして使用され、すべてのアクセスが許可されます。

このパブリック・リソース・ポリシーは、最初はいずれのリソースも含まず、いずれのリソースも提供しません。「説明」で管理者は要件を確認します。

Policy set during domain creation. Add resources to this policy to allow anyone access.

関連項目:

「SSOのポリシー・レスポンスの概要」

25.3.5 認可ポリシーのページ

「認可ポリシー」タブでは、検索コントロールを使用することなく、定義または生成されたポリシーにアクセスできます。

生成されたアプリケーション・ドメインでは、次の2つの認可ポリシーが自動的に作成されますが、各リソースは1つの認可ポリシーによってのみ保護できます。

• 保護されたリソース・ポリシー

• パブリック・リソース・ポリシー

図25-7は、「認可ポリシー」タブを示しています。このタブで、ポリシーを選択して新しいポリシーを編集または作成できます。

図25-6 「認可ポリシー」ページ

「図25-6 「認可ポリシー」ページ」の説明

図25-7は、「認可ポリシー」ページを示しています。提供されるいくつかのタブでは、この認可ポリシーの様々なコンポーネントを定義できます。最初は、すべてのリソースが保護され、アクセスが拒否されます。成功URLと失敗URL、条件、ルールおよびレスポンスを手動で追加する必要があります(デフォルト値は提供されません)。

図25-7 個々の「認可ポリシー」ページ

「図25-7 個々の「認可ポリシー」ページ」の説明

図25-8は、「認可ポリシー・リソース」タブを示しています。このページを使用し、このポリシーのリソースを追加(または削除)します。

図25-8 個々の「認可ポリシー・リソース」タブ

「図25-8 「認可ポリシー・リソース」タブ」の説明

管理者は、このポリシーの条件、ルールおよびレスポンスも定義できます。自動生成されるものはありません。

関連項目:

• 「SSOのポリシー・レスポンスの概要」

• 「認可ポリシー・ルールおよび条件の概要」

25.3.6 トークン発行ポリシーのページ

生成されるアプリケーション・ドメインでは、「トークン発行ポリシー」のコンテナのみがデフォルトで提供されます。リソース、条件、ルールおよびレスポンスはすべて手動で追加する必要があります。

図25-9 「トークン発行ポリシー」ページ

「図25-9 「トークン発行ポリシー」ページ」の説明

このポリシー・タイプの詳細は、次を参照してください:

• 「TokenServiceRPタイプのリソースの管理」

• 「トークン発行ポリシー、条件およびルールの管理」