Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
管理者は、DCCの資格証明操作の有効化、パスワード・ポリシーのDCCフォームの更新、認証ポリシーへのPasswordPolicyValidationSchemeの追加および集約フェデレーション・フローでのDCCの使用が可能です。
次のステップは、11g Webゲートおよび認証ポリシーをDCCとともに使用するように構成する方法を示しています。各ステップには、該当する項へのリンクが示されています。
ノート:
ECCを使用している環境の場合は、「パスワード・ポリシー構成の完了」に進みます。
独立したDCCを使用しているか、DCCとリソースWebゲートを一体化しているかにかかわらず、DCCのOAMエージェント登録ページで「資格証明コレクタ操作の許可」を有効にする必要があります。
DCCとリソースWebゲートが独立している場合は、リソースWebゲート登録ページを編集して、ステップ3で示すように、「ログアウト・リダイレクトURL」
の値がDCCのlogout.plとなるように設定する必要があります。
次の手順は、デプロイメントでオープン・モード通信を使用していると仮定しています。デプロイメントで簡易モードまたは証明書モードの通信を使用している場合は、ステップ4の実行時に適切なアーティファクトをコピーしてください。
前提条件
パスワード・ポリシー認証の構成(DCC固有の詳細を使用する場合)
Access Managerは、DCCに対するユーザー操作のためにいくつかの動的なページを提供します。
: $WEBGATE_HOME/webgate/ohs/oamsso/*,
$WEBGATE_HOME/webgate/ohs/oamsso-bin/*pl
および $WEBGATE_HOME/webgate/ohs/oamsso-bin/templates/*
。$WEBGATE_HOME/webgate/ohs/oamsso-bin/*pl
にあるlogin、logoutおよびsecuridスクリプトの最初の行で、Perlの場所を実際の場所と一致するように更新します(表24-3)。保護されたリソースの認証ポリシーでDCC認証スキームを使用できます。
実行するステップは、デプロイメントのタイプに応じて異なります。
一体化されたDCC/リソースWebゲート: ステップ1を実行して、一体化されたDCC/リソースWebゲート・アプリケーション・ドメインの保護されたリソースの認証ポリシーに、DCC認証スキームを追加します。
独立したリソースWebゲート: ステップ3を実行して、独立したリソースWebゲート・アプリケーション・ドメインの保護されたリソースの認証ポリシーに、DCC認証スキームを追加します。
ステップ2は、DCCのデプロイメント・タイプにかかわらず実行してください。デフォルトでは、ログインおよびログアウトのフォームは、OHSの/httpd.conf/webgate.confを通じて除外されるため、これらのフォームをポリシーから除外する必要はありません。ただし、Chromeブラウザの場合は、明示的にasync favicon.icoリクエストを除外する必要があります(このリクエストは、DCCCtxCookieを無視します)。
ノート:
この例では、「パスワード・ポリシー認証の構成」のDCCに設定されたPasswordPolicyValidationSchemeを参照しています。
前提条件
一体化されたDCC/リソースWebゲート: DCCアプリケーション・ドメインを開きます。
認証ポリシー、保護されたリソース・ポリシーを検索して開きます(「認証ポリシーの検索」を参照してください)。
このポリシーにDCC認証スキームを追加します(「特定のリソースに対する認証ポリシーの定義」を参照してください)。
Chromeブラウザを使用する場合は、ステップ2を実行します。それ以外の場合は、ステップ4に進みます。
Chromeブラウザ: 次の手順を実行して、DCCDomainで/favicon.ico
を追加します。
DCCDomainで、「リソース」タブをクリックします。
HTTPリソースの/favicon.ico
を見つけて開きます(または、「新規リソース」ボタンをクリックして、このリソースを追加します)。
「リソースURL」を確認または編集して、次のようにします。
/favicon.ico
「保護」セクションで、「保護レベル」リストから「除外」を選択して、「適用」をクリックします。
ステップ4に進みます。
独立したWebゲート: リソースWebゲート・アプリケーション・ドメインを開きます。
認証ポリシー、保護されたリソース・ポリシーを検索して開きます(「認証ポリシーの検索」を参照してください)。
このポリシーにDCC認証スキームと、オプションの失敗URLを追加します(指定しない場合、失敗URLはデフォルトのエラー・ページを表示します)(「特定のリソースに対する認証ポリシーの定義」を参照してください)。
Chromeブラウザを使用する場合は、ステップ2を実行します。それ以外の場合は、ステップ4に進みます。
Webサーバーを再起動して、「パスワード・ポリシー構成の完了」に進みます。
DCCは、Access Managerサーバーに対するパブリック・エンドポイントとして動作するように機能が拡張されています。DCCへのHTTPリクエストは、NAPを介してAccess Managerサーバーのプロキシ・モジュールにトンネリングされます。DCCプロファイルのTunneledUrlsパラメータで定義されているリクエストのみがトンネリングされます。JSPのページおよびサーブレットがAccess Managerサーバーで実行され、レスポンスがトンネリングによりDCCに返されます。実質的に、エンド・ユーザーが通信する相手はDCCのみとなります。
ノート:
WebGateがDCCとして構成されていてフェデレーテッド・フローが使用中の場合、DCC WebGateを使用してリソースを保護できません。リソースを保護するには、別のWebGateを構成して使用する必要があります。認証および認可リクエストがOAMサーバーにトンネリングされ、ECCログイン・フォームがトンネリングされてユーザーのブラウザに表示されます。
DCCを集約フェデレーション・フローに使用する場合は、次のステップを手動で実行します。