Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
ユーザー・アイデンティティ・ストアは一元化されたLDAPストアで、管理者およびユーザー指向の集計データが系統だって保持管理されます。
Oracle Access Managementでは複数のLDAPベンダーがサポートされており、Oracle Access Managementとそのサービスによる使用のために複数のLDAPストアを登録できます。Oracle Access Managementでは、アイデンティティ・ドメインとして各ユーザー移入とLDAPディレクトリ・ストアに対応しています。それぞれのアイデンティティ・ドメインは構成済のLDAPユーザー・アイデンティティ・ストアにマップされます。このストアはOracle Access Managementによって登録する必要があります。この項では、Oracle Access Managementコンソールを使用してユーザー・アイデンティティ・ストアを登録および管理するのに必要な情報について説明します。
ノート:
アイデンティティ・データ・ストアへのアクセスには、従来のOAM IDストア機能ではなく、プロファイルを使用することをお薦めします。OAM IDストア機能は今後のリリースで非推奨になります。「アイデンティティ・ディレクトリ・サービスのユーザー・アイデンティティ・ストアの管理」を参照してください。
Oracle Fusion Middleware構成ウィザードを使用したWebLogic Serverドメインの最初の構成時、組込みLDAPのみがユーザー・アイデンティティ・ストアとして構成されます。組込みLDAP内では、weblogic
がデフォルトの管理者としてあらかじめ設定された管理者グループが作成されます。
ノート:
組込みLDAPは、ユーザーが10,000人未満のときにパフォーマンスが最も良くなります。ユーザーがこれより多い場合は、別のエンタープライズLDAPサーバーを考慮してください。高可用性構成では、ユーザー・アイデンティティ・ストアとして外部LDAPディレクトリを使用することをお薦めします。『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
ユーザーはAccess Managerで保護されたリソースにアクセスしようとする場合、指定されたデフォルトのストアに限らず任意のストアに対して認証できます。ただし、いくつかの考慮事項があります。
システム・ストア: 1つのユーザー・アイデンティティ・ストアのみをシステム・ストアとして指定できます(さらに必ず指定する必要があります)。これは、Oracle Access Managementコンソール、リモート登録ツールおよびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。したがって、Oracle Access Managementコンソールまたはリモート登録ユーティリティを使用する管理者は、システム・ストアに資格証明を格納しておく必要があります。リモート・ユーザー・ストアをシステム・ストアとして定義すると、OAMAdminConsoleScheme
を変更して、同じリモート・ユーザー・ストア(システム・ストア)を参照するLDAP認証モジュールを使用する必要があります。詳細は、「ユーザー・アイデンティティのシステム・ストアの使用について」を参照してください。
デフォルト・ストア: 名前が示すとおり、デフォルト・ストアとして指定されたLDAPストアは、モジュールまたはプラグインに別のストアの使用を構成しないかぎり、LDAP認証モジュールでの使用に対して自動的に選択されます。
ノート:
Access Managerに保護されたリソースにアクセスするユーザーは、認証スキームで登録および定義された任意のユーザー・アイデンティティ・ストアに対して認証できますが、セキュリティ・トークン・サービスはデフォルトのユーザー・アイデンティティ・ストアのみを使用します。たとえば、トークン発行ポリシーにユーザー条件を追加するとき、ユーザーを選択するアイデンティティ・ストアはデフォルト・ストアである必要があります。
Oracle Access Managementコンソールでは、ユーザー・アイデンティティ・ストアの登録は、「構成」起動パッド下にまとめられています。管理者は、Oracle Access Managementコンソールまたは『WebLogic Server WLSTコマンド・リファレンス』に記載されているカスタマイズ・コマンドを使用して、ユーザー・アイデンティティ・ストアの登録と、登録の表示、変更および削除が可能です。
有効なOracle Access Managementシステム管理者の資格証明を持つユーザーは、登録済のユーザー・アイデンティティ・ストアをデフォルト・ストアまたはシステム・ストアのいずれかとして指定できます。
「アイデンティティ・ディレクトリ・サービスのユーザー・アイデンティティ・ストアの管理」に説明されているように、Oracle Access Managementコンソールでデフォルト・アイデンティティ・ストアおよびシステム・アイデンティティ・ストアの構成を選択できます。
UserIdentityStore1は、埋込みのAccess Manager LDAPストアです。インストール後、Oracle Access ManagementコンソールおよびOAM Policy ManagerがIAM Suiteエージェントによって保護されます。IAM Suiteアプリケーション・ドメインは、OAMAdminConsoleScheme認証スキームを使用するOAM管理コンソール認証ポリシーでシードされています。また、OAMAdminConsoleSchemeはLDAP認証モジュールを使用し、システム・ストアとLDAP認証モジュールは両方ともWebLogic埋込みアイデンティティ・ストア(UserIdentityStore1)を使用します。Access Managerの管理者ロールが、システム・ストアに属するエンタープライズ・グループおよびユーザーにマップされます。
システム・ストアを変更すると、アイデンティティ管理(IAM Suite)ドメイン全体に影響を与えます。システム・ストアをリモート・アイデンティティ・ストアに変更する場合は、WebLogicでこのリモート・ストアの認証プロバイダを作成する必要があります。
このリモート・ストア・プロバイダが、WebLogicコンソールのプロバイダ・リスト内でIAMSuiteAgentプロバイダの後に表示されます。次の点にも留意してください。
新しいリモート・ストア・プロバイダより前のすべてのプロバイダの制御フラグがSUFFICIENTまたはOPTIONALに設定されていることを確認します。
ADMIN (WebLogicグローバル・ロール)を、このリモート・ストアからのエンタープライズ・グループまたはユーザーに割り当てます。これを行うには、IDM構成ツールを使用してリモート・ストアを準備するステップを実行し、WebLogicドキュメントを参照します。
Oracle Unified Directoryをシステム・ストアとして使用する場合は、WebLogicでIPlanetAuthenticatorを作成します。
システム・ストアをリモート・ストアに変更する前に、前述の構成を実行してテストする必要があります。また、リモート・ストアを使用するようにLDAP認証モジュール構成を変更する必要もあります。リモート・ストアは、OAMアイデンティティ・ストアまたはIDSプロファイルを使用して構成できます。
ノート:
管理者ログインは、(OAMAdminConsoleScheme
によって使用される) LDAP認証モジュールもそのシステム・ストアを使用する場合のみ機能します。別のストアをリモート・ストアとして設定する場合、ロックアウトを回避するために必ずOAMAdminConsoleScheme
を変更してください。
Webゲートを使用して(AdminServerの) Oracle Access Managementコンソールおよび(OAMサーバーの) Policy Managerコンソールを保護する場合、前述の手順に加えて、WebLogicでOAMアイデンティティ・アサータを作成し、WLSTコマンドを使用してJPSでOAMをSSOプロバイダとして有効にします。詳細は、「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。また、OAM Policy Managerコンソールのホスト名およびポートをホワイトリストに登録し、WebLogicからIAMSuiteAgentプロバイダを削除して、Webゲート保護を完全に有効にする必要もあります。
管理者ロールに関する情報は、「管理者ロールの管理」を参照してください。
管理者はOracle Access Managementに複数のユーザー・アイデンティティ・ストアをインストールおよび登録できます。それぞれのアイデンティティ・ストアは、異なるLDAPプロバイダに依存できます。
複数のアイデンティティ・ストアが登録されている場合、管理者は次を定義する必要があります。
システム・ストア: 管理者はシステム・ストアに対してのみログインできます。
デフォルト・ストア: パッチ適用時と、Identity Federationおよびセキュリティ・トークン・サービスの使用時に起動する。
パッチ適用: パッチの適用前に、デフォルト・ストアとしてUserIdentityStore1を指定し、UserIdentityStore1 (Weblogic Serverの組込みLDAP)を使用するようにLDAP認証モジュールを更新します。
Identity Federation: IdPパートナ単位で複数のアイデンティティ・ストアをサポートします。指定したアイデンティティ・ストアは、別のストアと同じように登録する必要があります。アイデンティティ・ストアがIdPパートナで定義されていない場合は、デフォルト・ストアが使用されます。詳細は、「サービス・プロバイダとしてのIdentity Federationの管理」を参照してください。
セキュリティ・トークン・サービス: ユーザーを参照するユーザー名トークンをLDAPユーザー・レコードにマップし、そのレコードを使用して送信トークンを移入するために、セキュリティ・トークン・サービスにはLDAPサーバーが必要です。目的のLDAPサーバーが、「ユーザー・アイデンティティのシステム・ストアの使用について」に記載されているように、Oracle Access Managementのデフォルト・アイデンティティ・ストアとして登録および構成されていることを確認します。詳細は、「構成の概要: ユーザー名トークンを使用したアイデンティティ伝播」を参照してください。
各LDAP認証モジュールまたはプラグイン(およびフォームまたは基本認証スキーム)とともに使用する特定のストア
外部LDAPリポジトリは、ユーザー、ロールおよびグループ・メンバーシップ情報を提供できます。たとえば、ユーザーのグループは、ログイン時に計算され、セッションの存続期間内に格納されます。情報は次のように使用されます。
認証中にポリシーを評価する場合
ポリシー内の認可条件に対するアイデンティティを評価する場合
認可ポリシーでの条件のアイデンティティを検索するために、LDAPを使用する場合
ノート:
ユーザーのグループ・メンバーシップ情報を消去し、後日Oracle Access Managementで再計算する方法はありません。
OAMでのユーザー・アイデンティティ・ストアの登録は、OAMサーバーとの接続性を提供するために必要です。アイデンティティ・ストアを登録した後、管理者はそれを認証スキームのベースを形成する1つまたは複数の認証モジュールで参照できます。
Oracle Access Managementでは、各ユーザー移入とディレクトリのそれぞれをアイデンティティ・ドメインとして対応可能です。各アイデンティティ・ドメインは、単に構成済アイデンティティ・ストア名にマップします。
最初のOracle Access Manager 11gリリースでは、ユーザーは単純なユーザー名/IDフィールドを使用して内部および外部の両方で識別されました。複数のアイデンティティ・レルムをサポートするには、ユーザーまたはグループのレルム間表現、またはアイデンティティ・ストア内に存在するエンティティが必要です。この表現は、正規識別子と呼ばれますが、Oracle Access Managementの様々なランタイムおよび管理コンポーネントに対する一意の識別子として機能します。
外部表現: アイデンティティ・ドメイン情報とともに単純なユーザー名を修飾します。
たとえば、Oracle Access Managementコンソールでユーザー名を示す表には、それぞれのユーザーのアイデンティティ・ドメインを表示する列が含まれます。アイデンティティ・ドメインはアイデンティティ・ストア名にマップします。ユーザー情報を表示するすべての機能コンポーネント(コンソール、ポリシー、レスポンス、ロギング、セッション管理、監査など)は、アイデンティティ・ドメイン情報の場合と同様に修飾を開始します。
内部表現: 曖昧性解消をサポートするために、OAMは完全修飾名を格納および使用します(またはコンポジット・キーを形成するために両方のフィールドをそのまま使用します)。
たとえば、セッション管理エンジンはコンポジットを格納する必要をなくすためにこのようにしています。どちらの場合も、完全修飾名は表示されません。
Oracle Access Managementのランタイム・コンポーネントおよび管理コンポーネントではアイデンティティ・ストアを使用します。
表5-3に、Oracle Access Managementの様々なランタイム・コンポーネントおよび管理コンポーネントを示します。
表5-3 アイデンティティ・ストアを使用するコンポーネント
コンポーネント | 説明 |
---|---|
認可ポリシー管理 |
認可ポリシー管理は、ユーザーまたはグループへの権限付与のオーサリングを許可します。管理者は、特定のユーザーまたはグループを選択し、アクセス権を付与または拒否して、特定のアイデンティティ・ストア内を検索できます。検索結果は、Access Manager認可ポリシーのアイデンティティ条件タイプのプリンシパルとして格納されている値など、ユーザーおよびグループの正規識別子を提供します。コンソールには、オリジナルの名前およびアイデンティティ・ストアが表示されます。 |
ランタイム |
認証および認可は、ポリシー・ランタイム・コンポーネントに基づきます。 OAMプロキシの場合、既存のOAM_REMOTE_USERヘッダーに加えて、2番目のOAM_IDENTITY_DOMAINヘッダーを認証されているユーザーのすべてのリクエストに設定し、必要に応じて使用するアプリケーションがユーザーの曖昧性を解消できるようにします。 |
セッション |
セッション管理検索は、ユーザー・アイデンティティ・ストアについて管理者に通知し、これは検索結果表にリストされます。 |
監査およびロギング |
ユーザーが認証されているユーザー・アイデンティティ・ストアは、監査およびロギング中に考慮されます。 |
関連項目:
『Oracle Fusion Middleware WebLogic Scripting Tool Identity and Access Managementコマンド・リファレンス』の「Access Manager WLSTコマンド」
「システム構成」タブからユーザー・アイデンティティ・ストアを作成できます。
図5-1に、「ユーザー・アイデンティティ・ストアの作成」ページを示します。このページには、自分の環境に合せて編集できるストア設定とデフォルト設定の詳細の入力フィールドがあります。「ストア・タイプ」ドロップダウン・リストには、サポートされる選択項目が表示されます。
ページ上のアスタリスク(*)は必須の設定です。表5-4は、タイプ別の各要素を示します。
表5-4 ユーザー・アイデンティティ・ストアの要素
セクション | 要素 | 説明 |
---|---|---|
一般 |
ストア名 |
この登録の一意の名称。名称は最大30文字までを使用できます。 |
ストア・タイプ |
サポートされているすべてのLDAPプロバイダのリスト。ここから選択できます。「複数のアイデンティティ・ストアの使用について」で説明されているとおり、複数のアイデンティティ・ストアを使用できます。 関連項目: 表24-6。 |
|
説明 |
オプション。 |
|
SSLの有効化 |
このボックスをクリックして選択すると、ディレクトリ・サーバーとOAMサーバーの間でSSLが有効であることを示します。 keytoolコマンド行インタフェースを使用して、適切なCAルート証明書およびサーバー証明書を($JAVA_HOME/lib/security/cacertsにある)デフォルトのJDKキーストアにインポートする必要もあります。 ノート: CAルート証明書は任意のキーストアに追加できます(次のJavaプロパティに対してそのキーストアに関する適切な値が設定されている場合)。このためには、適切な値および-Dオプションを使用してOAM管理サーバーおよび管理対象サーバーのインスタンスを起動します。
|
|
プリフェッチされた属性 |
カンマ区切りのユーザー属性のリスト(例: email, phone, mobile)。OAMサーバーは、アイデンティティ・ストアに対してユーザーを認証する間に、ユーザー属性のリストをメモリーにキャッシュします。キャッシュされた値は、認証レスポンス・ヘッダー、認可ポリシー・レスポンス・ヘッダーおよび認可ポリシー条件の計算に使用されます。プリフェッチされた属性では、ユーザー・アイデンティティ・ストアへのラウンド・トリップを回避することで、パフォーマンスを大幅に改善します。OAM管理者は、認証および認可ポリシー・レスポンス・ヘッダーと認可条件で使用されるすべてのユーザー属性が、ユーザー・アイデンティティ・ストア・プロファイルでプリフェッチされた属性として定義されていることを確認する必要があります。 |
|
ユーザーのネイティブIDストア |
これによって、LDAP認証モジュール内にネイティブにロック/無効化されている/pw_must_changeコードの認証コードを取得できます。 |
|
場所と資格証明 |
場所 |
パート番号を含むLDAPホストのURL。Oracle Access Management 11gは、フェイルオーバー機能で複数のLDAP URLをサポートします。IDアサーション・プロバイダは、LDAP URLが表示される順序に基づいて次のLDAP URLにフェイルオーバーします。 1つの(または複数の)LDAP URLを localhost:myhost:7001 ノート: サポートされるURLの文字数は、ブラウザのバージョンに基づきます。Oracle Access Managementおよびブラウザが処理できる長さを超えたURLを、アプリケーションで使用しないようにしてください。 |
バインドDN |
接続プールのユーザーDNで、これを介して他のすべてのBINDが発生します。ユーザーおよびグループ・ベースのDNには、適切な読取りおよび検索の権限を持つ管理者以外のユーザーをお薦めします。 次に例を示します。 uid=amldapuser,ou=people,o=org |
|
パスワード |
プリンシパルのパスワードで、セキュリティのために暗号化されます。 |
|
ユーザーとグループ | ログインID属性 |
ログインID (ユーザー名)を識別する属性。 次に例を示します。 uid |
ユーザー・パスワード属性 |
ユーザーのパスワードが格納されるユーザー・アイデンティティ・ストア(LDAPディレクトリ)内の属性。これは、柔軟性を高めるために構成可能になっています。 |
|
ユーザー検索ベース |
ディレクトリ情報ツリー(DIT)のノード。この下にユーザー・データが格納され、すべてのユーザー・データ検索の最も高いベースとなります。 次に例を示します。 ou=people,ou=myrealm,dc=base_domain |
|
ユーザー・フィルタ・オブジェクト・クラス |
ユーザー・オブジェクト・クラス名のカンマ区切りリストで、ユーザーの検索結果に含めるオブジェクト・クラス。たとえば、 |
|
グループ名属性 |
グループ名を識別する属性。 デフォルト: cn |
|
グループ検索ベース |
現在は ディレクトリ情報ツリー(DIT)のノード。この下にグループ・データが格納され、すべてのグループ・データ検索の最も高いベースとなります。 次に例を示します。 ou=groups,ou=myrealm,dc=base_domain |
|
グループ・フィルタ・クラス |
グループ・オブジェクト・クラスのカンマ区切りリストで、グループの検索結果に含めるオブジェクト・クラス。例: groups、groupOfNamesなど。 |
|
グループ・メンバーシップ・キャッシュの有効化 |
グループ・キャッシュのブーリアン値: trueまたはfalse デフォルト: true |
|
グループ・キャッシュ・サイズ |
グループ・キャッシュ・サイズの整数 デフォルト: 10000 |
|
グループ・キャッシュ存続時間(秒) |
グループ・キャッシュ要素、存続時間の整数(秒)。 デフォルト: 0 |
|
接続の詳細 |
最小プール・サイズ |
接続プールに設定される最小サイズ。 デフォルト: 10 |
最大プール・サイズ |
接続プールに設定される最大サイズ。 デフォルト: 50 |
|
待機タイムアウト |
完全に利用されているプールで、接続リクエストがタイムアウトするまでの時間(秒)。 デフォルト: 120 |
|
非アクティブのタイムアウト |
完全に利用されているプールのイベントで、接続リクエストがタイムアウトするまで非アクティブになることができる時間(秒)。 |
|
参照ポリシー |
次の値のいずれかです:
|
|
パスワード管理の有効化 |
下にリストされた属性値に対するパスワード・ポリシー強制を有効化します。パスワード・ポリシー内の対応するオプションも同様に構成する必要があります。 |
|
Oblixユーザー・スキーマの使用 |
標準のOracleスキーマのかわりにOBLIXスキーマを使用できるようにします。 |
|
グローバル共通ID属性 |
ユーザーID属性の名前を指定します。この属性は、ユーザーIDがパスワードの一部になっていないことを確認するために、パスワード・ポリシーの一部として使用されます。 |
|
名属性 |
名属性の名前を指定します。この属性は、ユーザーの名前がパスワードの一部になっていないことを確認するために、パスワード・ポリシーの一部として使用されます。 |
|
姓属性 |
姓属性の名前を指定します。この属性は、ユーザーの姓がパスワードの一部になっていないことを確認するために、パスワード・ポリシーの一部として使用されます。 |
|
結果タイム・リミット(秒) |
「結果タイム・リミット」はサポートされていません。または、説明しているとおり
デフォルト値は120000ミリ秒です IDSベースのプロファイルでは、 modifyLDAPAdapter(adapterName='ADAPTER_NAME', attribute='OperationTimeout', value=120000, contextName='ids') 元のidstoreプロファイルでは、 <Setting Name="CONN_TIMEOUT" Type="xsd:string">120000</Setting> 編集後、 |
|
再試行回数 |
現行ではサポートされていません。 |
|
電子メール・アドレス属性 |
現行ではサポートされていません。 |
|
チャレンジ質問属性 |
現行ではサポートされていません。 |
|
チャレンジ回答属性 |
現行ではサポートされていません。 |
図5-2に、デフォルトとシステム・ストアの指定内容を示します。「アクセス・システム管理者」セクションを参照してください。定義済のシステム・ストアおよびストア自体内のみで、管理者ロールを追加または削除できます。
関連項目:
ユーザーの分類の詳細については、「リソースの保護およびSSOの有効化ポリシーの管理」を参照してください。
有効なOracle Access Management管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して新しいユーザー・アイデンティティ・ストアを登録できます。
アイデンティティ・ストアを登録した後、それを認証スキームのベースを形成する1つまたは複数の認証モジュールで参照できます。また、認可ポリシーのアイデンティティ条件内にある特定のアイデンティティ・ストアを参照することもできます。始める前に、次のようにします。
Oracle Access Managementに登録しようとしているユーザー・アイデンティティ・ストアをインストールします。
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの説明に従って、Access ManagerのLDAPディレクトリ・スキーマを拡張します。
ベンダーのドキュメントの説明に従って、LDAPディレクトリにユーザーとグループを作成します。
次の手順に従い、新しいユーザー・アイデンティティ・ストアの定義を登録します。
Oracle Access Managementコンソールの上部にある「構成」をクリックします。
「構成」コンソールで、「ユーザー・アイデンティティ・ストア」をクリックします。
「OAM IDストア」セクションで、「作成」をクリックします。
デプロイメントに適した値をフォームに入力し(表5-4)、「適用」をクリックして登録を送信します。
接続テスト: 「接続テスト」をクリックして接続性を確認し、確認ウィンドウを閉じます。
登録ページを閉じます。
管理者の追加: 「管理者ロールの管理」を参照してください。
ナビゲーション・ツリーで、登録ページを開くストア名をダブルクリックします。
「アクセス・システム管理者」セクションで、表の上にある「+」をクリックします。
「システム管理者ロールの追加」ダイアログ・ボックス(...)に入力します。
「適用」をクリックします。
デフォルト・ストアの設定: 「ユーザー・アイデンティティのシステム・ストアの使用について」を参照してください。
「適用」をクリックして登録を送信してから、ページを閉じます。
次を参照して、1つ以上の認証モジュールまたはプラグインを、このストアを使用するように構成します。
有効なOracle Access Management管理者の資格証明を持つユーザーは、ユーザー・アイデンティティ・ストアの登録を表示または変更できます。登録しようとしているユーザー・アイデンティティ・ストアが、インストールされて実行中である必要があります。
ユーザー・アイデンティティ・ストアを表示または変更するには:
有効なOracle Access Management管理者の資格証明を持つユーザーは、この手順を利用して、Oracle Access Managementコンソールによりユーザー・アイデンティティ・ストアの登録を削除できます。デフォルト・ストアまたはシステム・ストアの登録は削除できません。
ユーザー・アイデンティティ・ストア登録を削除するには、次のようにします。