Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
ECCとDCCのどちらを選択したかに関係なく、Access Managerで保護されたすべてのリソースに適用される1つのグローバル・パスワード・ポリシーを構成できます。
認証では、リソースへのアクセスのリクエスト、資格証明の収集および資格証明の検証結果に基づくレスポンスの返信の際に、ユーザーが指定する必要がある資格証明の決定が行われます。Access Managerの認証プロセスは、認証モジュール(またはプラグイン)を使用して、要件およびバックエンド認証スキームへの情報転送を制御するルールを定義します。デフォルトで、Access Managerは、認証処理に対するOAMサーバー埋込み資格証明コレクタ(ECC)の使用をサポートしています。ただし、外部資格証明コレクタ(DCC)を使用するように11g Webゲートを構成することもできます。
ノート:
ECCとDCCは、どちらも資格証明が一度に提供されない場合のマルチステップ認証フローを簡単にできます。これにより、認証関連の情報を収集するための、ユーザーやプログラム的なエンティティとの対話処理の柔軟性が向上します。詳細は、「プラグイン・ベースのモジュールによるマルチステップ認証の編成」を参照してください。
次に示す概要では、このパスワード・ポリシーを構成および使用する方法について説明している項へのリンクを示します。特に明記しないかぎり、すべてのタスクはECCとDCCに同様に適用できます。ご使用のデプロイメントに該当しないタスクは省略してください。
パスワード・ポリシー管理では、次のようにします。
Oracle Access Management管理者の資格証明を持つユーザーは、企業で定義された要件に基づいて共通のパスワード・ポリシーを定義できます。
ノート:
ECCとDCCのグローバル・パスワード・ポリシーの唯一の相違点は、パスワード・サービスURL
です。これは、資格証明コレクタ固有であり、デフォルトはステップ2で示すようにECCページです。
この例の仕様は、説明の目的のみに使用されているものです。環境はユーザーによって異なります。
パスワード・ポリシーは、デフォルト・ストアが指定されている場合にのみ動作します。管理者のロールと資格証明は、システム・ストアに存在している必要があります。
Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
「構成」コンソールで、「ユーザー・アイデンティティ・ストア」をクリックします。
システム・ストアの設定: このストアに管理者ロールおよび資格証明が存在する必要があります。
システム・ストアとして指定するストアのページを開きます。
「システム・ストアとして設定」をクリックします(ドメイン全体の認証および認可操作用)。
「適用」をクリックします。
管理者の追加: 「管理者ロールの管理」を参照してください。
認証モジュール: OAMAdminConsoleScheme
(認証スキーム)によって使用されるLDAP認証モジュールがシステム・ストアを使用するように設定します。
このストアを使用するように、1つ以上の認証プラグインを構成します(「プラグイン・ベースのモジュールによるマルチステップ認証の編成」を参照)。
デフォルト・ストアの設定: このストアは、パッチ適用時のパスワード・ポリシーおよび移行に必要です。
デフォルト・ストアとして指定するストアのページを開きます。
「デフォルト・ストアとして設定」の横にあるボックスを選択します。
認証モジュール: OAMAdminConsoleScheme
を見つけて、LDAPモジュールがこのストアを参照していないことを確認します。「ネイティブ認証モジュールの管理」を参照してください。
認可ポリシー条件: 認可ポリシーのアイデンティティ条件の設定時に、特定のアイデンティティ・ストアを選択します。「認証ポリシー条件の定義」を参照してください。
トークン発行ポリシー条件: トークン発行ポリシーのアイデンティティ条件の設定時に、特定のアイデンティティ・ストアを選択します。「トークン発行ポリシー、条件およびルールの管理」を参照してください。
登録ページを閉じます。
パスワード・ポリシーは、デフォルト・ストアが指定されている場合にのみ動作します。
この項では、Oracle Access Managementのパスワード・ポリシー処理のデフォルト・ストア・スキーマを拡張するステップを説明します。
Access Managerの一部として配布されているLDIF (Lightweight Directory Interchange Format)ファイルは、必須のオブジェクト・クラスでスキーマを拡張するためのものです。一般に、これらを適用するには、手動で連結してあるAccess ManagerとOracle Identity Managementを使用します。Access Managerスキーマのユーザー・データ・オブジェクト定義は、パスワードのユーザー・ステータスとパスワード履歴のメンテナンスを有効化する属性で拡張されます。この定義は、LDIFファイルで指定して、ldapadd
ツールを使用して各ユーザー・アイデンティティ・ストアに追加する必要があります。
オラクル社が提供するLDIFについて表24-6に示します。
ノート:
OAM_HOMEホームには、Oracle Access Managementをホストするためにインストールされているファイルが含まれます。OAM_HOMEは、ミドルウェア・ホーム($MW_HOME)のディレクトリ構造の内部にあります。
表24-6 LDAPプロバイダ用のオラクル社提供LDIFのロケーション
LDAPプロバイダ | LDIFのロケーション |
---|---|
OID: Oracle Internet Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/OID_PWDPersonSchema.ldif |
OVD: Oracle Virtual Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/OVD_PWDPersonSchema.ldif |
AD: Microsoft Active Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/AD_PWDPersonSchema.ldif |
SJS: sun Java System Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/IPLANET_PWDPersonSchema.ldif |
eDirectory: Novell eDirectory |
$OAM_HOME/ oam/server/pswdservice/ldif/EDIR_PWDPersonSchema.ldif |
ODSEE : Oracle Directory Server Enterprise Edition |
$OAM_HOME/ oam/server/pswdservice/ldif/IPLANET_PWDPersonSchema.ldif |
OUD: Oracle Unified Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/OUD_PWDPersonSchema.ldif |
SLAPD: OpenLDAP Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/OLDAP_PWDPersonSchema.ldif |
IBM: OBM Tivoli Directory |
$OAM_HOME/ oam/server/pswdservice/ldif/TIVOLI_PWDPersonSchema.ldif |
パスワードのユーザー・ステータスとパスワード履歴のメンテナンスを有効化する属性を表24-7に示します。各ユーザー・アイデンティティ・ストアのユーザー・データ・オブジェクトには、表24-7に示す属性を含める必要があります。これらは、ldapadd
ツールを使用して、LDIF (Lightweight Directory Interchange Format)ファイルに追加できます。
表24-7 パスワード・ポリシーのキー・パスワード属性
属性 | 説明 | 書式および値 |
---|---|---|
obPasswordCreationDate |
日付と時刻(ユーザー・ログインの時点)です。パスワードの有効期限が切れているかどうか、また警告を発行する必要があるかどうかを計算するために使用します。 |
YYYY-MM-DDThh:mm:ssZ |
obPasswordHistory |
最後に使用されたパスワードの数を追跡するために使用します。Access Managerは、10g oblixPersonPwdPolicyの書式を認識して、新しい書式に変換します。 |
新しい書式: 以前の書式:
|
obPasswordChangeFlag |
初回ユーザー・ログイン時のパスワード変更の強制(または、管理者が開始したパスワード変更の強制)に使用します。 |
ブール文字列値。
空の文字列は、 |
obuseraccountcontrol |
無効になったユーザーを表します。 |
暗号化されていない文字列値。
空の文字列は、activatedを意味します。 |
obpasswordexpirydate |
この時刻以降は、ユーザー・パスワードが期限切れであるとみなされます。 |
YYYY-MM-DDThh:mm:ssZ 空の値は、 |
obLockoutTime |
この時刻までは、ログインの試行回数が多すぎるために、ユーザーがロック・アウトされるとみなされます。 |
時期値(秒単位)は、将来の時間を表します。
|
obLoginTrvCount |
ユーザーによるログインが連続して失敗した回数。このカウンタは、最初に正しいパスワードが入力された時点でリセットされます。 |
暗号化されていない整数値。
|
oblastsuccessfullogin |
前回成功したログインの時間。 |
YYYY-MM-DDThh:mm:ssZ |
oblastfailedlogin |
前回失敗したログインの時間。 |
YYYY-MM-DDThh:mm:ssZ |
idmConfigTool -prepareIDStore
を使用して構成されている場合、このタスクをスキップできます。ユーザー・アイデンティティ・ストアがoblix
スキーマで拡張されていない場合は、このスキーマを更新して、パスワード・サービスに必要なオブジェクト・クラスを含める必要があります。LDAPツールは、$OAM_HOME
配下の/bin
ディレクトリから実行する必要があります。
次の手順は、Oracle Internet Directoryスキーマの拡張方法を示しています。環境によっては異なることがあります。
デフォルト・ストア(この例ではOracle Internet Directory)を変更して、別の権限が与えられたアカウントをバインドDNとして使用できます。これにより、パスワードの変更後、ユーザー属性を変更可能な権限が与えられます。
前提条件
サポートされているLDAPストアを登録し、デフォルト・ストアに指定します。追加したユーザーがデフォルト・ストア内で定義されていることを確認します。
関連項目:
Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
「構成」コンソールで、「管理」をクリックします。
新しい管理者を追加します。
「管理」ページで、「付与」をクリックします。
表示されるダイアログで、「検索」をクリックします。
「ロール」ドロップダウン・リストから目的のロールを選択し、「選択済の追加」をクリックして、選択したユーザーにそのロールを付与します。
「適用」をクリックして変更を送信します。
「パスワード・ポリシー認証の構成」に進みます。