23.5 DCC対応の11g Webゲートと認証ポリシーの構成

管理者は、DCCの資格証明操作の有効化、パスワード・ポリシーのDCCフォームの更新、認証ポリシーへのPasswordPolicyValidationSchemeの追加および集約フェデレーション・フローでのDCCの使用が可能です。

次のステップは、11g Webゲートおよび認証ポリシーをDCCとともに使用するように構成する方法を示しています。各ステップには、該当する項へのリンクが示されています。

1. DCCの資格証明操作の有効化には、次の両方の構成ステップが説明されています。

   リソースWebゲートと一体化されたDCC: DCCのOAMエージェント登録ページで、「資格証明コレクタ操作の許可」を有効にします。

   独立したDCCとリソースWebゲート: DCCのOAMエージェント登録ページで、「資格証明コレクタ操作の許可」を有効にして、「ログアウト・リダイレクトURL」にDCCのlogout.plを設定します。

2. パスワード・ポリシーのDCCフォームの検索と更新
3. DCCの認証ポリシーへのPasswordPolicyValidationSchemeの追加には、次の両方の構成ステップが説明されています。

   一体化されたDCC/リソースWebゲート: 一体化されたDCC/リソースWebゲート・アプリケーション・ドメインで、DCC認証スキームを使用するように、保護されたリソースの認証ポリシーを更新します。

   独立したDCCとWebゲート: 独立したリソースWebゲートのアプリケーション・ドメインで、DCC認証スキームを使用するように、保護されたリソースの認証ポリシーを更新します。

4. 「DCCによるフェデレーション・フローのサポート」では、DCCをフェデレーションのフローに取り込むステップを説明しています。

ノート:

ECCを使用している環境の場合は、「パスワード・ポリシー構成の完了」に進みます。

23.5.1 DCCの資格証明操作の有効化

独立したDCCを使用しているか、DCCとリソースWebゲートを一体化しているかにかかわらず、DCCのOAMエージェント登録ページで「資格証明コレクタ操作の許可」を有効にする必要があります。

DCCとリソースWebゲートが独立している場合は、リソースWebゲート登録ページを編集して、ステップ3で示すように、「ログアウト・リダイレクトURL」の値がDCCのlogout.plとなるように設定する必要があります。

次の手順は、デプロイメントでオープン・モード通信を使用していると仮定しています。デプロイメントで簡易モードまたは証明書モードの通信を使用している場合は、ステップ4の実行時に適切なアーティファクトをコピーしてください。

前提条件

• コンソールを使用した登録済OAMエージェントの構成および管理

• グローバル・パスワード・ポリシーの管理

• パスワード・ポリシー認証の構成(DCC固有の詳細を使用する場合)

1. Oracle Access Managementコンソールの「Access Manager」セクションでSSOエージェントをクリックして、DCCとして動作する11.1.2 Webゲートの登録ページを検索して開きます。
2. DCC Webゲート登録: 「資格証明コレクタ操作の許可」を選択し、「適用」をクリックして、ステップ4と5を実行します。

   ノート:

   DCCをリソースWebゲートと一体化している場合は、ステップ3をスキップしてください。

3. 独立したリソースWebゲート: リソースWebゲート登録を編集して、「ログアウト・リダイレクトURL」にDCCのlogout.pl (表24-3)を設定し、「適用」をクリックして、ステップ4と5を実行します。
4. AdminServer (コンソール)ホストからエージェント構成ファイル(簡易モード・ファイルまたは証明書モード・ファイルを含む)をエージェント・ホストにコピーします。次に例を示します。

   エージェントおよびアーティファクト	アーティファクト
   11g Webゲート/アクセス・クライアント ObAccessClient.xmlとcwallet.sso	コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先: エージェント・ホストの$11gWG_install_dir/webgate/config。
   簡易または証明書モード	エージェント・ホストにコピー: $11gWG_install_dir/webgate/config aaa_key.pem aaa_cert.pem aaa_chain.pem password.xml 関連項目: 「通信の保護」

5. OHS Webサーバーを再起動します。
6. 「パスワード・ポリシーのDCCフォームの検索と更新」に進みます。

23.5.2 パスワード・ポリシーのDCCフォームの検索と更新

Access Managerは、DCCに対するユーザー操作のためにいくつかの動的なページを提供します。

関連項目:

Oracle Fusion Middleware Oracle Access Management管理者ガイド

前提条件

DCCの資格証明操作の有効化

1. Webゲート・ホストでDCCフォームを検索します(表24-3): $WEBGATE_HOME/webgate/ohs/oamsso/*, $WEBGATE_HOME/webgate/ohs/oamsso-bin/*plおよび $WEBGATE_HOME/webgate/ohs/oamsso-bin/templates/*。
2. それらの場所は、デプロイする認証スキームのトポロジに応じてカスタマイズします。
3. Perlの場所を更新します: Webゲート・ホストの$WEBGATE_HOME/webgate/ohs/oamsso-bin/*plにあるlogin、logoutおよびsecuridスクリプトの最初の行で、Perlの場所を実際の場所と一致するように更新します(表24-3)。
4. デフォルト・ページを企業に合せてカスタマイズするか、デフォルト・ページ全体をカスタム・ページと置き換えます。たとえば、デスクトップ・ブラウザ用のログイン・フォームと異なるものをモバイル・ブラウザ用に表示するために、カスタム・ページを設計、実装およびデプロイできます。
5. 関連項目: 「DCCの認証ポリシーへのPasswordPolicyValidationSchemeの追加」。

23.5.3 DCCの認証ポリシーへのPasswordPolicyValidationSchemeの追加

保護されたリソースの認証ポリシーでDCC認証スキームを使用できます。

実行するステップは、デプロイメントのタイプに応じて異なります。

• 一体化されたDCC/リソースWebゲート: ステップ1を実行して、一体化されたDCC/リソースWebゲート・アプリケーション・ドメインの保護されたリソースの認証ポリシーに、DCC認証スキームを追加します。

• 独立したリソースWebゲート: ステップ3を実行して、独立したリソースWebゲート・アプリケーション・ドメインの保護されたリソースの認証ポリシーに、DCC認証スキームを追加します。

ステップ2は、DCCのデプロイメント・タイプにかかわらず実行してください。デフォルトでは、ログインおよびログアウトのフォームは、OHSの/httpd.conf/webgate.confを通じて除外されるため、これらのフォームをポリシーから除外する必要はありません。ただし、Chromeブラウザの場合は、明示的にasync favicon.icoリクエストを除外する必要があります(このリクエストは、DCCCtxCookieを無視します)。

ノート:

この例では、「パスワード・ポリシー認証の構成」のDCCに設定されたPasswordPolicyValidationSchemeを参照しています。

前提条件

パスワード・ポリシーのDCCフォームの検索と更新

1. 一体化されたDCC/リソースWebゲート: DCCアプリケーション・ドメインを開きます。

   • ポリシー構成
   • アプリケーション・ドメイン
   • DCCDomain

   1. 認証ポリシー、保護されたリソース・ポリシーを検索して開きます(「認証ポリシーの検索」を参照してください)。

   2. このポリシーにDCC認証スキームを追加します(「特定のリソースに対する認証ポリシーの定義」を参照してください)。

      • PasswordPolicyValidationScheme (DCC認証スキーム)

   3. Chromeブラウザを使用する場合は、ステップ2を実行します。それ以外の場合は、ステップ4に進みます。

2. Chromeブラウザ: 次の手順を実行して、DCCDomainで/favicon.icoを追加します。

   1. DCCDomainで、「リソース」タブをクリックします。

   2. HTTPリソースの/favicon.icoを見つけて開きます(または、「新規リソース」ボタンをクリックして、このリソースを追加します)。

   3. 「リソースURL」を確認または編集して、次のようにします。

      /favicon.ico
      

   4. 「保護」セクションで、「保護レベル」リストから「除外」を選択して、「適用」をクリックします。

   5. ステップ4に進みます。

3. 独立したWebゲート: リソースWebゲート・アプリケーション・ドメインを開きます。

   • ポリシー構成
   • アプリケーション・ドメイン
   • ResourceWGDomain

   1. 認証ポリシー、保護されたリソース・ポリシーを検索して開きます(「認証ポリシーの検索」を参照してください)。

   2. このポリシーにDCC認証スキームと、オプションの失敗URLを追加します(指定しない場合、失敗URLはデフォルトのエラー・ページを表示します)(「特定のリソースに対する認証ポリシーの定義」を参照してください)。

      • DCC認証スキーム
      • 失敗URL (オプション)

   3. Chromeブラウザを使用する場合は、ステップ2を実行します。それ以外の場合は、ステップ4に進みます。

4. Webサーバーを再起動して、「パスワード・ポリシー構成の完了」に進みます。

   関連項目:

   「外部資格証明コレクタが有効化されたWebゲートを使用する場合のログアウトの構成」

23.5.4 DCCによるフェデレーション・フローのサポート

DCCは、Access Managerサーバーに対するパブリック・エンドポイントとして動作するように機能が拡張されています。DCCへのHTTPリクエストは、NAPを介してAccess Managerサーバーのプロキシ・モジュールにトンネリングされます。DCCプロファイルのTunneledUrlsパラメータで定義されているリクエストのみがトンネリングされます。JSPのページおよびサーブレットがAccess Managerサーバーで実行され、レスポンスがトンネリングによりDCCに返されます。実質的に、エンド・ユーザーが通信する相手はDCCのみとなります。

ノート:

WebGateがDCCとして構成されていてフェデレーテッド・フローが使用中の場合、DCC WebGateを使用してリソースを保護できません。リソースを保護するには、別のWebGateを構成して使用する必要があります。認証および認可リクエストがOAMサーバーにトンネリングされ、ECCログイン・フォームがトンネリングされてユーザーのブラウザに表示されます。

DCCを集約フェデレーション・フローに使用する場合は、次のステップを手動で実行します。

1. 次の内部リソースを、除外ではなくパブリックとして構成します。

   /oamfed/.../*
   /oam/.../*
   /.../*
   

2. DCC Webゲートのログアウトの値を、有効なDCC Webゲート・ログアウトURLに設定します。たとえば、/oamsso-bin/logout.plです。
3. DCCエージェントのエントリを更新します。次に示すエントリを、Access Manager管理コンソールを使用して「ユーザー定義パラメータ」のリストに追加してください。

   TunneledUrls=/oam,/oamfed
   

   「OAPトンネリングの構成」を参照してください。

4. OAMパブリック・エンドポイント・エントリを、DCC Webゲートを指すように更新します。

   「Access Managerの設定」で、「OAMサーバー・ホスト」、「OAMサーバー・ポート」および「OAMサーバー・プロトコル」をOHS/DCCに関連する値に設定し、「適用」をクリックします。

   ノート:

   または、RESTパラメータを変更せずにチャレンジ・リダイレクトURLを変更することにより、単一の認証スキームを、DCC Webゲートをポイントするように更新することもできます。

5. (該当する場合は)「フェデレーション設定」で「プロバイダID」の値を更新し、エンドポイントの変更によって生じた新しいメタデータをすべてのフェデレーション・パートナに再配信します。
6. contextTypeを'External'に設定します。

   この設定の詳細は、「認証スキームおよびページ」を参照してください。