Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Oracle Access Management Access Manager (Access Manager)は、以前Oracle Access Managerという名前であった(スタンドアロン)製品です。Access Managerは、Oracle Fusion Middleware 11gのシングル・サインオン(SSO)ソリューションを提供します。
これは、このドキュメントの説明にあるように単独で動作しますが、『Oracle Platform Security Servicesによるアプリケーションの保護』の説明にあるようにAccess Manager認証プロバイダとともに動作することもできます。
Access Manager 11g、10gおよびその他のソフトウェアの間の相違点については、次を参照してください。
Access Manager SSOにより、ユーザーおよびグループは認証後に複数のアプリケーションにアクセスでき、複数のサインオン・リクエストを行う必要がなくなります。SSOを有効にするには、Webサーバー、アプリケーション・サーバーまたは任意のサード・パーティ・アプリケーションを、Access Managerにエージェントとして登録されたWebゲート(またはmod_ossoインスタンス)により保護する必要があります。その後、管理者は、認証ポリシーおよび認可ポリシーを定義してリソースを保護します。これらの認証ポリシーを施行するために、エージェントはHTTPリクエストのフィルタとして機能します。
ノート:
WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。Access Manager SDKを使用して作成されたカスタムのアクセス・クライアントは、Web以外のアプリケーションで使用できます。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。
現在Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用している任意のWebアプリケーションをAccess Managerと統合することもできます。(「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。)次の各項では、Access Managerについて詳しく説明します。
Access Manager 11gは、Oracle WebLogic Serverのインスタンス上に存在し、Oracle Fusion Middleware Access Managementアーキテクチャの一部となります。
下位互換性および既存のソリューションとの共存を保つ一方で、Access Manager 11gでは、以前のテクノロジであるAccess Manager 10gおよびOracle Application Server SSO (OSSO) 10gに取ってかわり、これらを集約します。図1-2は、主要なAccess Manager 11gのコンポーネントおよびサービスを示します。プロトコル互換性フレームワークは、OAM Webゲート、mod_ossoエージェント、およびAccess Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントとインタフェースします。
ノート:
この項では、すべてのAccess Managerコンポーネントについては説明しません。
図1-3は、Access Managerコンポーネントの分散を示します。
Oracle Access Managementコンソールは、Oracle WebLogic管理サーバー(AdminServerとも呼ばれる)に存在します。OAMランタイム・インスタンスをホストするWebLogic管理対象サーバーは、OAMサーバーとして知られています。この2つで共有される情報には次のものがあります。
エージェントおよびサーバー構成データ
Access Managerポリシー
セッション・データ(すべてのOAMサーバーで共有)
11gリリース2 (11.1.2.3)以降、オプションでポリシー・マネージャ・コンソールをWebLogic管理対象サーバーにデプロイできます。詳細は、「Oracle Access Managementコンソールおよびポリシー・マネージャ・コンソール」を参照してください。
企業には、Oracle Access Managerのデプロイメントが複数存在することがあります。デプロイメント・サイズにかかわらず、構成ウィザードによって各種コンポーネントが、新規作成されたWebLogic Serverドメインにインストールされます。
表1-1では、企業によりAccess Managerがインストールされるデプロイメントのタイプについて説明します。
表1-1 Access Managerのデプロイメント・タイプ
デプロイメント・タイプ | 説明 |
---|---|
開発デプロイメント |
理想的にはサンドボックス・タイプの設定で、開発全体への依存は最小限 |
QAデプロイメント |
通常、テスト用に使用される、比較的小さな共有されたデプロイ |
本番前デプロイメント |
通常、より幅広い対象者でのテストに使用される、共有されたデプロイメント |
本番デプロイメント |
日常的に企業内で完全に共有および使用可能 |
デプロイメント内でのAccess Managerの最初のインストールおよび構成の際に、新しいWebLogic Serverドメインを作成(または既存のドメインを拡張)します。デプロイメントのサイズやタイプに関係なく、新しいWebLogic Serverドメインでは、Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントがインストールされます。
WebLogic管理サーバー
ノート:
既存のWebLogic Serverドメインでは、WebLogic管理サーバーはすでにインストールされて動作の準備ができています。
WebLogic管理サーバーにデプロイされたOracle Access Managementコンソール
Oracle Access ManagementサービスのWebLogic管理対象サーバー
管理対象サーバー上にデプロイされたアプリケーション
関連項目:
Oracle WebLogic Serverドメイン構成の理解のOracle WebLogic Serverドメイン
ドメインが構成されると、OAMサーバー、データベース・スキーマ、(オプションの) WebLogic管理対象サーバーとクラスタ、および次のストア・タイプについて、さらに詳細が定義されます。
ポリシー・ストア: デフォルト・ポリシー・ストアは、デプロイメントや実証を目的としたファイルベースのものです。これは、本番環境ではサポートされません。本番環境では、すべてのポリシー操作と構成は、ポリシー・ストアとして構成されたデータベースに対して直接実行されます。
アイデンティティ・ストア: デフォルトの埋込みLDAPデータ・ストアは、Access Managerの基本ユーザー・アイデンティティ・ストアとして設定されます。
キーストア: 認可時にOAMサーバーとWebゲート間の簡易または証明書ベースの通信のための証明書用に、Javaキーストアが構成されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。