Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
アクセス・テスターをOAMサーバーとともにコンソール・モードで使用して、クイック・スポット・チェックを実行できます。
エージェントとOAMサーバー間の接続のスポット・チェックやトラブルシューティングを行うと、エージェントがOAMサーバーと通信できるかどうかの評価に役立ちますが、これは、アップグレードや製品移行を行った後は特に有効です。また、エージェントやOAMサーバーによるリソース保護のスポット・チェックやトラブルシューティングを行うと、アプリケーション・ライフサイクルの間にポリシー構成のエンドツーエンド・テストを作成する際に役立ちます。
次に、実行するタスクおよびシーケンスの概要と、各タスクの詳細について参照すべき箇所を示します。
ノート:
ユーザーは、それぞれのリクエストとレスポンスのペアを取得してテスト・ケースを作成し、そのテスト・ケースをスクリプト・ファイルに保存して後で実行することができます。詳細は、「テスト・ケースおよびスクリプトの作成と管理」を参照してください。
タスクの概要: アクセス・テスター・コンソールからスポット・チェックを行う。
OAMサーバーにリクエストを送信するには、アクセス・テスターとサーバー間の通信を確立しなければなりません。
この項では、その接続を確立する方法を説明します。
エミュレートしようとしているOAMサーバーとエージェントに関する必要情報をアクセス・テスターの「接続」パネルに入力して、「接続」ボタンをクリックします。テスターが接続を開始して、「ステータス・メッセージ」パネルにステータスを表示します。接続が確立されると、その接続がその後のすべての操作に使われます。
注意:
接続が確立されると、アクセス・テスター・コンソールを再起動するまでその接続を変更することはできません。
「サーバー接続」パネルとコントロールを図26-4に示します。このパネルには、OAMサーバーのプロキシ・ポートへの接続の確立に必要な情報が含まれています。
接続の確立に必要な情報を表26-7に示します。値は、Oracle Access Managementコンソールの「システム構成」タブから取得されます。
表26-7 接続パネルの情報
フィールド | 説明 |
---|---|
IPアドレス |
このテスト・セットにおけるプライマリおよびセカンダリOAMプロキシのIPアドレスをリスニングします。 ノート: 入力するのはプライムOAMプロキシの値だけにすることをお薦めします。セカンダリOAMプロキシが必要なのは、プライマリOAMサーバーとセカンダリOAMサーバー間のフェイルオーバーをテストする場合に限られます。ただし、OAP APIがプライマリOAMサーバーとセカンダリOAMサーバー間のロード・バランシングをサポートしている場合は、セカンダリ・サーバーをより実用的に利用することができます。 |
ポート |
プライマリおよびセカンダリOAMサーバーのポート番号を入力します。 |
最大接続数 |
アクセス・テスターが使用する物理的接続(TCP)ソケットの最大数です。アクセス・テスターはシングル・スレッド・エージェントをエミュレートします。 ノート: デフォルト値の1を使用することをお薦めします。 |
最小接続数 |
アクセス・テスターが使用する物理的接続(TCP)ソケットの最小数です。アクセス・テスターはシングル・スレッド・エージェントをエミュレートします。 ノート: デフォルト値の1を使用することをお薦めします。 |
タイムアウト |
接続の確立、あるいはOAMサーバーからのレスポンス受信のためにアクセス・テスターが待機する時間(ミリ秒)です。 ノート: デフォルト値の使用をお薦めします。 |
モード |
エミュレートするエージェントに指定された通信セキュリティのレベル。
関連項目: 「アクセス・テスターのセキュリティおよび処理について」および「証明書モードのOAMテスターのクライアント・キーストア生成」。 |
エージェントID |
テスターがシミュレートするOAMエージェントのアイデンティティを入力します。 |
エージェント・パスワード |
テスターがシミュレートするOAMエージェントのパスワードが設定されている場合は、そのパスワードを入力します。 |
疑問符 |
エージェント・パスワードの横にある「?」をクリックしてヘルプを表示します。 |
緑色のチェック・マーク |
「接続」ボタンの横の緑色のチェック・マークは、「はい」のレスポンスを示し、この場合は接続が確立されています。ステータス・メッセージ・パネルにも接続に関する「はい」のレスポンスが表示されます。 |
赤い円で囲まれたX |
「接続」ボタンの横の赤の円は、「いいえ」のレスポンスを示し、この場合、接続は存在しません。ステータス・メッセージ・パネルにも接続に関する「いいえ」のレスポンスが表示されます。 |
情報を入力して接続を確立した後は、詳細を構成ファイルに保存して後で再利用することができます。
OAMサーバーの接続の詳細を送信できます。
ユーザーがリソースにアクセスできるようにするには、まず、リソースが保護されていることをエージェントが確認する必要があります。
次の説明に従い、ユーザーがアクセス・テスターを使用してエージェントの役を演じ、指定されたURIが保護されているかどうかをOAMサーバーに検証させて応答をアクセス・テスターに伝達させます。
検証しようとするリソースに関する必要情報をアクセス・テスターの「保護リソースのURI」パネルに入力し、「検証」ボタンをクリックします。
データ入力量をできるだけ小さくするために、長いURIをブラウザからコピーして、「URIのインポート」コマンド・ボタンをクリックしてインポートできます。テスターがクリップボードに保存されたURIを解析して、アクセス・テスターのURIフィールドに入力します。
リソースが保護されていることを検証するためにURI詳細を入力するパネルを図26-5に示します。これらのURIフィールドを組み合せるとRFC表記に従った書式になります。例: http://oam_server1:7777/index.html
この評価を行うために必要な情報を表26-8に示します。
表26-8 保護リソースURIパネルのフィールドとコントロール
フィールドまたはコントロール | 説明 |
---|---|
スキーム |
リソースに指定された通信セキュリティに応じてhttpまたはhttpsを入力します。 ノート: アクセス・テスターはhttpまたはhttpsリソースだけをサポートします。アクセス・テスターを使用して、http以外のカスタム・リソースを保護するポリシーをテストすることはできません。 |
ホスト |
リソースの有効なホスト名を入力します。 ノート: アクセス・テスター内に指定された<host:port>の組合せは、Oracle Access Managementコンソール内に定義されたホスト識別子のいずれかと一致している必要があります。このホスト識別子を確認できない場合、OAMはリソース保護を検証できません。 |
ポート |
URIに対する有効ポートを入力します。 ノート: アクセス・テスター内に指定された<host:port>の組合せは、OAMサーバー内に定義されたようにホスト識別子のいずれかと一致する必要があります。このホスト識別子を確認できない場合、OAMはリソース保護を検証できません。 |
リソース |
URIのリソース部分を入力します(たとえば/index.htm)。このリソースは、Oracle Access Managementコンソールで認証および認可ポリシーに対して定義されたリソースと一致している必要があります。 ノート: 保護されている場合、ここに入力したリソース識別子は、Oracle Access Managementコンソールで認可ポリシーに指定された識別子と一致している必要があります。 |
赤い矢印が付いた地球儀 |
クリップボードに保存されたURIを解析してインポートするには、このボタンをクリックします。 |
操作 |
アクセス・テスターに示されたリストから、URIの操作部分を選択します。ただし、OAMサーバーはアクションの違いを認識しません。したがって、ここは「取得 」のままにしておいても問題ありません。 |
認証スキームの取得 |
保護リソースのセキュリティ保証に使用する認証スキームについて、その詳細を返すようOAMサーバーに要求するには、このチェック・ボックスを選択します。URIが保護されている場合、この情報は「ステータス・メッセージ」パネルに表示されます。 |
検証 |
「検証」ボタンをクリックしてOAMサーバーにリクエストを送信します。レスポンスを受信すると、アクセス・テスターはそのレスポンスを「ステータス・メッセージ」パネルに表示します。 |
緑色のチェック・マーク |
「検証」ボタンの横に表示される緑色のチェック・マークは、「はい」のレスポンスを示し、この場合、リソースは保護されています。ステータス・メッセージ・パネルにはリソースのリダイレクトURLが表示される他、資格証明が必要とされることも表示されます。 ノート: 「認証スキームを取得」ボックスを選択した場合は、「ステータス・メッセージ」パネルにもこのリソースを保護する認証スキームの名前とレベルが表示されます。 |
赤い円で囲まれたX |
「検証」ボタンの横に表示される赤の円は、リソースが保護されていないことを示します。「ステータス・メッセージ」パネルにも「いいえ」のレスポンスが表示されます。 |
ユーザーは、それぞれのリクエストとレスポンスのペアを取得して複数のテスト・ケースを作成し、後で実行できるようにそのテスト・ケースをスクリプト・ファイルに保存します。
リソース情報をOAMサーバーに送信して、ステータス・メッセージ・パネルでレスポンスを検証できます。
この項の内容は次のとおりです。
ユーザーがリソースにアクセスできるようにするには、エージェントが、OAMサーバー上に定められた認証ポリシーに基づいてユーザーのアイデンティティを検証する必要があります。アクセス・テスターを使用すれば、ユーザーがエージェントの役を演じて、保護リソースに対する特定のユーザーIDをOAMサーバーに認証させることができます。このポリシー評価の際には、関係するすべての認証レスポンスが考慮されます。
表26-9 アクセス・テスターの「ユーザー・アイデンティティ」パネルのフィールドとコントロール
フィールドまたはコントロール | 説明 |
---|---|
IPアドレス |
ユーザー資格証明の検証を行うユーザーのIPアドレスを入力します。OAMサーバーと通信するすべてのエージェントがエンド・ユーザーのIPアドレスを送信します。 デフォルト: 入力されるIPアドレスは、アクセス・テスターを実行するコンピュータに属するものです。 実際のユーザーのIPアドレスを必要とするポリシーをテストするには、デフォルトのIPアドレスを実際のIPアドレスに置き換えてください。 |
ユーザー名 |
資格証明の検証対象となる個人のユーザーIDを入力します。 ノート: 資格証明を必要とする認証スキームによってリソースが保護されている場合、アクセス・テスターはそのユーザー名フィールドとパスワード・フィールドを有効または無効にします。同様に、ユーザーのX509証明書を必要とする認証スキームによってリソースが保護されている場合、アクセス・テスターはその証明書フィールドを有効または無効にします。 |
パスワード |
資格証明の検証対象となる個人のパスワードを入力します。 |
? |
ポップアップ・ウィンドウ内にクリア・テキストでパスワードを表示するには、このボタンをクリックします。 |
ユーザー資格証明ストア |
資格証明を認証する必要のあるユーザーのX.509証明書を格納するPEMフォーマットのファイルです。 X509認証スキームによってURIが保護されている場合、テスターは、ユーザー名/パスワードではなく、またはユーザー名/パスワードに加えて、PEMフォーマットのX509証明書を資格証明として使用します。OAMサーバーでのセキュリティ・ポリシーの構成によっては、X509証明書が認証に使用される場合もあります。 ノート: 証明書ベースの認証を機能させるには、CA証明書とSSLキーストア証明書を使用してOAMサーバーを正しく構成する必要があります。OAMサーバーとWebゲート間の通信の保護の詳細は、「通信の保護」を参照してください。 |
... |
ユーザー証明書ストア・パスのファイル・システムを表示するには、このボタンをクリックします。 |
認証 |
OAMサーバーにリクエストを送信して「ステータス・メッセージ」パネルでレスポンスを探すには、「認証」ボタンをクリックします。 ノート: 提供される資格証明のタイプ(ユーザー名/パスワードまたはX.509証明書)は、URIを保護している認証スキームの要件と一致していなければなりません。 ノート: 証明書ベースの認証では、「通信の保護」に示すように、証明書を使用してOAMサーバー・デプロイメントを正しく構成する必要があります。 |
認可 |
ユーザーの資格証明の検証後に認可ボタンをクリックすれば、リソースに対するリクエストをOAMサーバーに送信することができます。レスポンスについては「ステータス・メッセージ」パネルを確認してください。 このリクエストは、アイデンティティ・パネルで定義されたユーザーが、「URI」パネルで定義されたリソースにアクセスできるかどうかを決定するために、「URI」およびアイデンティティ・パネルで収集した情報をOAMサーバーに送信します。サーバーは「はい」(ユーザーはリソースにアクセスできます)または「いいえ」(ユーザーはリソースにアクセスできません)を返します。OAMサーバーからは、実際のエージェントならば正常に処理するアクション(レスポンス)などの追加情報が返される場合があります。 |
緑色のチェック・マーク |
「認証」ボタンの横に表示される緑色のチェック・マークは認証が成功したことを示します。「ステータス・メッセージ」パネルにも認証が成功したことを示す「はい」のレスポンスが表示されるほか、ユーザーDNとセッションIDも示されます。 「認可」ボタンの横に表示される緑色のチェック・マークは認可が成功したことを示します。「ステータス・メッセージ」パネルにも、認可が成功したことを示す「はい」のレスポンスとアプリケーション・ドメインの詳細が表示されます。 |
赤い円で囲まれたX |
「認証」ボタンの横に表示される赤の円は認証が失敗したことを示します。「ステータス・メッセージ」パネルにも認証に失敗したことを示す「いいえ」のレスポンスが表示されます。 認可ボタンの横に表示される赤の円は認可が失敗したことを示します。「ステータス・メッセージ」パネルにも認可にしっぱししたことを示す「いいえ」のレスポンスが表示されます。 |
ユーザーは、それぞれのリクエストとレスポンスのペアを取得して複数のテスト・ケースを作成し、後で実行できるようにそのテスト・ケースをスクリプト・ファイルに保存します。
エンド・ユーザーの資格証明をOAMサーバーに送信して、認証を検証できます。このポリシー評価の際には、関係するすべての認証レスポンスが考慮されます。
ユーザーがリソースにアクセスできるようにするには、エージェントが、OAMサーバー上に定められたポリシーに基づいてユーザーの権限を検証する必要があります。アクセス・テスターを使用してユーザーがエージェントとしての役割を演じ、認証されたユーザー・アイデンティティにリソースへのアクセスを認可できるかどうかをOAMサーバーに検証させることができます。認証されたエンド・ユーザーのリソースへのアクセス認可を検証します。このポリシー評価の際には、関係するすべての認可上の条件とレスポンスが考慮されます。
前提条件
コンソールに保持されたすべての情報でアクセス・テスター・コンソールからユーザー認証をテストします。
ノート:
アクセス・テスターから保護リソースのURIが確認されてユーザーのアイデンティティが認証されれば、それ以外の情報は必要ありません。認可ボタンをクリックしてリクエストを送信してください。ただし、リソースが別のものに変更された場合は改めてシーケンスを開始して検証を行い、次いで認証と認可を行う必要があります。
ユーザー認可のテスト方法