| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
この項では、登録済のWebゲートの管理に役立つ次の内容について説明します。
Oracle Access Managementコンソールとリモート登録ユーティリティのどちらを使用してエージェントを登録していても、コンソールで完全なエージェントの構成ページを表示できます。
図15-3に、デフォルト値が表示された11g Webゲートのページを示します。
11gと10gのWebゲート登録ページ間には、少しだけ相違点があります。
ノート:
エージェントのページにある要素のほとんどは、拡張されたOAMテンプレートでリモート登録ツールを使用して定義する要素と同じです。使用する方法に関係なく、ObAccessClient.xmlにはエージェントの登録または変更後に値が移入されます。
表15-3は、展開された登録の要素を示しています。ここに表示された追加設定は、OAMプロキシにより使用されます。
表15-3 拡張された11gおよび10g Webゲート/アクセス・クライアント登録ページの要素
| 要素 | 説明 |
|---|---|
名前 バージョン 説明 アクセス・クライアント・パスワード セキュリティ ユーザー定義パラメータ IPの検証 |
関連項目: 表15-1。 関連項目: 「ユーザー定義のWebゲート・パラメータ」 関連項目: 「Webゲート用IPアドレスの検証」。 |
プライマリCookieドメイン 10g Webゲートのみ: 「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
このパラメータは、エージェントがデプロイされるWebサーバー・ドメインを記述します。たとえば、example.comなどです。 Cookieドメインを構成して、Webサーバー間のシングル・サインオンを有効にする必要があります。具体的には、シングル・サインオンを構成するWebサーバーに同じプライマリCookieドメイン値を使用する必要があります。Webゲートは、ObSSOCookie認証Cookieを作成するためにこのパラメータを使用します。 このパラメータは、Cookieドメインに参加してObSSOCookieを受信および更新する機能を持つWebサーバーを定義します。このCookieドメインはObSSOCookieの移入に使用されず、ObSSOCookieの有効なドメインおよびObSSOCookieの内容を承認および変更する機能を持つWebサーバーを定義します。 デフォルト: 登録中にクライアント側のドメインを決定できる場合、プライマリCookieドメインがその値で移入されます。ただし、ドメインが見つからない場合、値が存在しないのでWebGateはホストベースのCookieを使用します。 ノート: ドメイン名が一般的なほど、シングル・サインオンの実装が包括的になります。たとえば、プライマリCookieドメインにb.comを指定すると、ユーザーはb.comおよびa.b.comのリソースのシングル・サインオンを実行できます。ただし、プライマリCookieドメインにa.b.comを指定すると、ユーザーはb.comのリソースのリクエスト時に再認証を行う必要があります。 |
状態 コンソールのみ。 |
この登録が有効か無効かを指定します。 デフォルト = 有効 |
最大キャッシュ要素 |
キャッシュに保持される要素の数。キャッシュは次のとおりです。
この設定の値は、これらのキャッシュの要素の最大合計カウントを参照します。 デフォルト = 100000 |
キャッシュ・タイムアウト(秒) |
キャッシュされた情報が使用も参照もされないとき、Webゲートのキャッシュ(「認証スキームに対するリソース」、認証スキーム、11g Webゲートのみの「認可ポリシーに対するリソース」)にその情報が残る時間。 デフォルト = 1800 (秒) |
トークンの有効期間(秒) 11g Webゲートのみ |
エージェント・トークン(11g WebGateのOAMAuthnCookieの内容)の有効な最大時間。この値は、obsso Cookieの有効期間です。この期間中は、認可napコールのみがOAMサーバーに渡されます。この期間の経過後は、obsso Cookieは無効とみなされ、'obrareq.cgi'リダイレクトが行われます。OAMサーバーはOAM_ID Cookieを検証し、新しいobsso Cookieを再発行しますが、サーバー側セッションが期限切れになっているか、削除されたか、タイムアウトになっている場合は、ユーザーをチャレンジします。 デフォルト = 3600 (秒) ノート: 10g Webゲートの場合、「トークンの有効期間」を設定するには、「Cookieセッション時間」を使用してください。 |
最大接続数 |
このWebゲートとOAMサーバーで確立できる接続の最大数。この数は、このエージェントに実際に関連付けられている接続の数と同じか、それを超える数である必要があります。 デフォルト = 1 |
最大セッション時間(時間) |
このWebゲートからOAMサーバーへのネットワーク接続を維持する最大時間。経過時間が過ぎると、WebゲートからOAMサーバーへのすべてのネットワーク接続が停止し、新しい接続に置き換わります。単位は、 |
フェイルオーバーしきい値 |
このWebゲートがセカンダリOAMサーバーの接続を開くポイントを表す数値。 デフォルト = 1 たとえば、このフィールドに30と入力して、プライマリOAMサーバーへの接続数が29の場合、このエージェントはセカンダリOAMサーバーへの接続を開きます。 |
AAAタイムアウトしきい値 |
OAMサーバーからのレスポンスを待機する数値(秒単位)。このパラメータが設定された場合、アプリケーションのTCP/IPタイムアウトとして、デフォルトのTCP/IPタイムアウトではなくこの値が使用されます。 デフォルト = -1(デフォルトのネットワークTCP/IPタイムアウトが使用されます) 簡易モードのWebゲートを使用している場合、Webゲート・プロファイルの このパラメータの一般的な値は、30から60秒です。非常に小さい値に設定すると、OAMサーバーからレスポンスを受信する前にソケット接続がクローズし、エラーが生じる可能性があります。 たとえば、Webゲートが1つのプライマリOAMサーバーと1つのセカンダリOAMサーバーと通信するように構成されているとします。ネットワークのワイヤがプライマリOAMサーバーから引き抜かれた場合、WebゲートはプライマリOAMサーバーへの接続がないことを知るために、TCP/IPタイムアウトの間だけ待ちます。Webゲートは、プライマリOAMサーバーから順に、使用可能なサーバーに対して接続の再確立を試行します。このときも、接続が確立可能かどうかを判断するために、エージェントはTCP/IPタイムアウトの間だけ待機します。確立できない場合は、リストの次のサーバーが試されます。別のOAMサーバー(プライマリまたはセカンダリ)への接続が確立できる場合、リクエストは再ルーティングされます。ただし、これは予想以上に長くかかることがあります。 WebGateは、新しい接続を検索するときには、使用可能なサーバーのリストを、その構成で指定した順序でチェックします。プライマリOAMサーバーが1つとセカンダリOAMサーバーが1つずつ指定されていて、プライマリOAMサーバーの接続がタイムアウトした場合、エージェントはまだプライマリOAMサーバーを先に試します。結果的に、エージェントはOAMサーバー・タイムアウトのしきい値設定の2倍を超える期間だけ、リクエストをOAMサーバーに送信できません。 OAMサーバーがリクエストにサービスを提供するのに、タイムアウトのしきい値よりも長い時間がかかる場合、エージェントはリクエストを放棄して、新しい接続でそのリクエストをやり直します。接続プール設定によっては、接続プールから戻される新しい接続が同じOAMサーバーの接続になる場合があります。また、しきい値で指定された時間よりも、他のOAMサーバーがリクエストの処理に時間がかかることもあります。この場合、エージェントはOAMサーバーが停止するまで、リクエストを引き続き再試行できます。 |
ServerConnectionReadTimeout |
このパラメータは、タイムアウトをさらに微調整するために、ASDKエージェント・ユーザー定義パラメータ・セクションで構成できます。この設定は、必要に応じてTCP読取りタイムアウトに対して構成できます。読取りタイムアウトは、データの読取りの待機のタイムアウトです。具体的には、サーバーが最後のバイトからn秒後にバイトを送信できないと、読取りタイムアウト・エラーが発生します。 |
poolTimeOut |
このパラメータは、ASDKエージェント・ユーザー定義パラメータ・セクションで構成できます。poolTimeoutは、リクエスト・スレッドが接続プールからの接続の取得を待機する最大時間で、この時間が経過すると例外がスローされます。デフォルトは30秒です。 |
アイドル・セッション・タイムアウト 10g Webゲートのみ: 「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
デフォルト: 3600 リリース7.0.4のWebGateは、独自のアイドル・セッション・タイムアウトのみを適用しました。 10.1.4.0.1のWebGateでは、トークンがアクセスしたすべてのWebGateで最も制限されているタイムアウト値を適用しました。 10g (10.1.4.3)では、この要素のデフォルトが7.0.4の動作に戻りました。 アイドル・セッション・タイムアウトのロジックを設定するには:
アイドル・セッション・タイムアウト動作は、Webゲートのバージョンによって異なります。たとえば、Webゲート10.1.4.3の場合、これはアイドル・タイムアウトの制御に使用されます。「アイドル・セッション・タイムアウト」と「Cookieセッション時間」の両方が設定されている場合、どちらかのイベント(アイドル・セッション・タイムアウトまたはCookieセッション時間)が発生すると、obsso Cookieは無効であるとみなされます。この場合、リクエストはOAMサーバーに渡され、OAMサーバーはサーバー側パラメータ検証を使用して、セッションがタイムアウトまたは期限切れになった後に資格証明チャレンジまたはobsso Cookie再発行が行われたかどうかを決定します。 |
優先ホスト |
ユーザーが保護されたWebサーバーにアクセスしようとしたときに、すべてのHTTPリクエストでホスト名がどう表示されるかを指定します。HTTPリクエスト内のホスト名は、ユーザーのHTTPリクエストでどのように定義されたかに関係なく、このフィールドに入力された値に変換されます。 優先ホストの機能によって、ホストの識別子がホスト識別子リストに含まれていない場合に間違って作成される可能性があるセキュリティ・ホールを防止します。ただし、仮想Webホスティングでは使用できません。仮想ホスティングでは、ホスト識別子機能を使用する必要があります。 デフォルトは(Webゲート登録の)名前です。 |
ユーザー定義パラメータ |
関連項目: 「ユーザー定義のWebゲート・パラメータ」およびパフォーマンスのチューニング |
ログアウトURL 10gおよび11g Webゲート |
ログアウトURLはログアウト・ハンドラをトリガーします。ログアウト・ハンドラはCookieを削除し(10g WebゲートではObSSOCookie、11g WebゲートではOAMAuthnCookie)、Access Managerに保護されたリソースにユーザーが再アクセスしたときに改めて認証を要求します。 Default = [] (設定なし) ノート: これは、カスタマイズしたローカル・ログアウト・ページから初期ログアウトをトリガーするために使用する、標準の10g Webゲート構成パラメータです(「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」を参照してください)。 |
11g WebGateのみのその他のログアウト |
11g Webゲート・シングル・サインオンの動作については、特定のログアウト要素と値によって、中心のログアウトURL、コールバックURLおよびend_URLへのリダイレクトが自動化されます。 関連項目: 表27-2 |
ログアウト・コールバックURL 11g Webゲートのみ |
コールバック時にCookieをクリアする デフォルト = /oam_logout_success これはhost:portのある完全なURLフォーマットとすることもでき、この場合OAMサーバーは、コールバックURLを再構築することなく直接コールバックします。 ノート: リモート登録テンプレートでは、このパラメータの名前はlogoutCallbackUrlです(表15-10)。 関連項目: 表27-2 |
ログアウト・リダイレクトURL 11g Webゲートのみ |
このパラメータはエージェントの登録完了後に自動的に格納されます。デフォルトでは、これはデフォルト・ポートが14200のOAMサーバー・ホスト名に基づいて決定されます。次に例を示します。 デフォルト = http://OAMServer_host:14200/oam/server/logout 関連項目: 表27-2 |
ログアウト・ターゲットURL 11g Webゲートのみ |
この値は、ログアウト中にOPSSアプリケーションがWebGateに渡す問合せパラメータの名称です。問合せパラメータは、ログアウト完了後に移動するページのターゲットURLを指定します。 デフォルト: end_url ノート: end_url値は、jps-config.xmlのparam.logout.targeturlを使用して構成されます。 関連項目: 表27-2 |
スリープ時間(秒) |
OAMサーバーでディレクトリ・サーバーとの接続を確認する頻度(秒)。たとえば、この値を60秒に設定した場合、OAMサーバーは起動した時点から60秒ごとにその接続をチェックします。 デフォルト: 60 (秒) |
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー Webゲートのみ(アクセス・クライアントは対象外) |
これらの設定はWebGateにのみ適用され、ブラウザのキャッシュを制御します。 デフォルトでは、どちらのパラメータも「キャッシュなし」に設定されます。これにより、WebGateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 ただし、サイトがWebGateで保護されている場合、PDFファイルのダウンロードやレポート・ファイルの保存などの特定の操作が実行できないことがあります。 WebGateが異なるレベルで使用するAccess Manager SDKキャッシュを設定できます。詳細は、http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlの14.9項を参照してください。 すべてのcache-response-directiveが許可されます。たとえば、両方のキャッシュ値をパブリックに設定してPDFファイルのダウンロードを許可する必要がある場合があります。 デフォルト: キャッシュなし ノート: ブラウザには、OAM保護リソースで処理されたコンテンツのローカル・キャッシュ・コピーが格納される場合があります。Internet Explorerなどの一部のブラウザでは、HTTPS経由でアクセスされるコンテンツがキャッシュされ、同じコンピュータにアクセスできる他のユーザーが後で取得する場合があります。キャッシュ・ディレクティブがアプリケーション・コンテンツの重大度に基づいて設定されていることを確認してください。 関連項目: パフォーマンスのチューニング |
デバッグ |
デバッグは有効または無効にすることができます。 |
保護されていない場合に拒否 Webゲートのみ(アクセス・クライアントは対象外) |
「保護されていない場合に拒否」は有効にすることをお薦めします。 この要素を有効にすると、ルールまたはポリシーでアクセスが明示的に許可されていないすべてのリソースへのアクセスが拒否されます。WebゲートがOAMサーバーに問い合せる回数を制限できるため、大規模またはアクセスの多いアプリケーション・ドメインのパフォーマンスを向上できます。
重要: 「保護されていない場合に拒否」は、「ホスト識別子」および「優先ホスト」をオーバーライドします。「保護されていない場合に拒否」は有効にすることをお薦めします。有効にしない場合、複数のホスト識別子、仮想ホストおよびその他の複雑な構成を持つ大規模なインストールで、セキュリティ・ホールが発生する可能性があります。 |
管理操作の許可 |
このエージェント権限機能で、次のようなエージェントごとのセッション操作のプロビジョニングを有効にできます。
デフォルト: 無効 ノート: セッション管理の操作は、権限のあるエージェントのみが起動できます。このパラメータを有効にすると、セッション管理のリクエスト(上のリスト)がOAMサーバーによって処理されます。無効にすると、エージェントに対してこのリクエストは拒否されます。 |
11g Webゲートのみ |
|
資格証明コレクタ操作の許可 11.1.2.0.0移行のWebゲートのみ |
シンプル・フォーム認証または動的な複数要因による認証のために、Webゲートの外部資格証明コレクタ機能を有効にします。 デフォルト: 無効 |
マスター・トークン取得の許可 |
ASDKコードがOAM_ID Cookieを取得できるようにします。 |
トークン・スコープ操作の許可 |
ASDKコードがOAM_ID Cookieのスコープをホスト・レベルではなくドメイン・レベルに指定できるようにします。 |
Sharepoint偽装ユーザー 10g Webゲートのみ: 「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
Active Directoryでの、偽装用の信頼できるユーザー。このユーザーは偽装以外の目的では使用できません。制約は、Active Directory内の他のユーザーと同じです。 ノート: SharePoint偽装は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』で説明されているAccess Managerユーザー偽装機能とはまったく異なります。 |
Sharepoint偽装パスワード 10g Webゲートのみ: 「Access Manager 11gを使用する10g Webゲートの登録および管理」 |
偽装用の信頼できるユーザー・パスワード。制約は、Active Directory内の他のユーザー・パスワードと同じです。 信頼できるユーザーには強力な権限が付与されるので、非常に複雑なパスワードを選択することをお薦めします。さらに、 |
プライマリ・サーバー・リスト |
このエージェントのプライマリ・サーバー・リストを識別します。デフォルトは、OAMサーバーに基づきます。
|
セカンダリ・サーバー・リスト |
このエージェントのセカンダリOAMサーバーの詳細を識別します。手動で指定する必要があります。
|
新しいWebゲート登録を作成したり、特定のWebゲートまたはWebゲートのグループ(すべての11g Webゲートなど)を検索できます。
図15-4に、Webゲートの「検索」コントロール、デフォルトおよび空の「検索結果」表を示します。
正確な名前がわからない場合には、検索文字列にワイルドカード(*)を使用できます。「検索結果」表で名前を選択すると、登録ページが開いて表示または編集が可能になります。
このページで使用できるコントロールは、表15-4のとおりです。ほとんどのコントロールは、3つのタブ(「Webゲート」、「OSSOエージェント」および「OpenSSOエージェント」)すべてに適用されます(各タブに固有のコントロールはその旨を示しています)。
表15-4 エージェントの検索コントロール
| コントロール | 説明 |
|---|---|
Webゲートの作成 OSSOエージェントの作成 OpenSSOエージェントの作成 |
クリックすると、新しい11g Webゲート登録ページが開きます。 クリックすると、新しいOSSOエージェント登録ページが開きます。 クリックすると、新しいOpenSSOエージェント登録ページが開きます。 |
名前 |
登録ページで定義されているとおりの名前(または名前の一部とワイルドカード(*))を入力します。たとえば「a*」と入力すると、結果表で「Agent_WebGate_AccessDebugNew」が返されます。 |
バージョン (「Webゲート」タブのみ) |
Webゲートのバージョンを選択して、検索と結果を絞り込みます。
|
優先ホスト (「Webゲート」タブのみ) |
HTTPリクエストで使用されるとおりのホスト名の全体(または一部とワイルドカード(*))を入力します。たとえば「iam*」と入力すると、結果表で「IAMSuiteAgent」が返されます。 |
状態 (「Webゲート」タブのみ) |
状態を選択して、検索結果を絞り込みます。
|
プライマリ・サーバー (「Webゲート」タブのみ) |
プライマリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
セカンダリ・サーバー (「Webゲート」タブのみ) |
セカンダリ・サーバー名の全体(または一部とワイルドカード(*))を入力します。 |
エージェントID (「OSSOエージェント」タブのみ) |
エージェントIDの値全部(または一部とワイルドカード(*))を入力します。 |
エージェント・タイプ (「OpenSSOエージェント」タブのみ) |
ターゲット・エージェント・タイプを選択します。
|
有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して、登録済のWebゲートおよびプログラム・アクセス・クライアントのあらゆる設定を変更できます。この手順は、Webゲート登録とアクセス・クライアント登録のどちらを編集する場合でも同じです。
たとえば、タイムアウトのしきい値やOAMプロキシで使用される他の設定を変更する場合などです。
変更後は、更新された詳細はランタイムの構成更新プロセスによって伝播されます。通常は、アーティファクトをWebGateの構成領域にコピーする必要はありません。(アーティファクトは、エージェント名やアクセス・クライアントのパスワード、セキュリティ・モードが変更になった場合にだけ、WebGateディレクトリ・パスにコピーする必要があります。)
ノート:
Oracle Access Managementコンソールを使用して変更された内容はすべて、アプリケーション・サーバーの再起動なしに有効になり、再構成タイムアウト期間を経過すると自動的に反映されます。
開始する前に、エージェントがOracle Access Managementコンソールに登録されて、使用可能であることが必要です。
関連項目:
Oracle Access Managementコンソールで、「SSOエージェント」をクリックします。
「OAMエージェント」ノードをダブルクリックして、「検索」ページを表示します。
登録の検索: 「Webゲートの検索コントロール」を参照してください。
結果表でエージェント名をクリックし、ページを開きます。
必要に応じて、エージェントの詳細とプライマリ・サーバーまたはセカンダリ・サーバーの詳細を変更します(表15-1、表15-3)。
ユーザー定義パラメータ: 必要に応じて追加または変更します(表15-2)。
「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
次のように、簡易モード・ファイルまたは証明書モード・ファイルを含むアーティファクトをコピー(または同じ仕様でWebゲートをインストールしてからアーティファクトをコピー)します。たとえば、オープン・モード・ファイルには、次が含まれます。
| エージェントおよびアーティファクト | アーティファクト |
|---|---|
11g Webゲート/アクセス・クライアント ObAccessClient.xmlとcwallet.sso |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先のエージェント・ホスト: $11gWG_instance_dir/WebGate/config。 |
10g Webゲート/アクセス・クライアント ObAccessClient.xml ノート: このタスクを実行する前に、「Access Manager 11gを使用する10g Webゲートの登録および管理」に進みます。 |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先: エージェント・ホスト $10gWG_install_dir/oblix/lib/ObAccessClient.xml |
デプロイメントのニーズに合せて次の手順に進みます。
有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールから登録済のWebゲートまたはアクセス・クライアントを削除できます。エージェント登録を削除すると、登録のみが削除され、関連付けられているホスト識別子、アプリケーション・ドメイン、リソースまたはエージェント自体は削除されません。
関連項目:
開始する前に、このエージェントに関連付けられているアプリケーション・ドメイン、リソースおよびポリシーを評価して、これらが別のエージェントを使用するように(または削除されるように)構成されていることを確認します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「エージェント」をクリックして「検索」ページを表示します。
登録の検索: 「Webゲートの検索コントロール」を参照してください。
結果表から目的の登録を選択して開き、削除するエージェントであることを確認して、ページを閉じます。
結果表で名前を選択して「削除」(X)ボタンをクリックし、「確認」ダイアログで確認して、ページを閉じます。
エージェント名がナビゲーション・ツリーにないことを確認します。
10gエージェント・インスタンスの削除: 次のステップを実行します(必要に応じて「Access Manager 11gデプロイメントからの10g Webゲートの削除」を参照)。
Webサーバーを停止します。
次のディレクトリ・パスに用意されているユーティリティを使用して、WebGateソフトウェアを削除します。
$WebGate_install_dir/oui/bin
Windows: setup.exe -d Unix: runInstaller -d
WebGateのアップデート前のhttpd.confバージョンに戻します。次に例を示します。
コピー内容: httpd.conf.ORIG
コピー先: httpd.conf
Webサーバーを再起動します。
エージェントのホストで、Webゲートのインスタンス・ディレクトリを手動で削除します。
11g Webゲート/アクセス・クライアント: $11gWebGate_instance_dir/WebGate/config
