| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
前 |
次 |
Oracle Access Management Access Manager (Access Manager)、Oracle Adaptive Access Manager (OAAM)およびOracle Identity Manager (OIM)を統合すると、Access Managerによるリソースへのアクセス制御、OAAMによる強力なマルチファクタ認証と高度なリアルタイム不正防止、およびOIMによるセルフサービス・パスワード管理が可能となります。
この章では、Oracle Access Management Access Manager (Access Manager)、Oracle Identity Manager (OIM)およびOracle Adaptive Access Managerを統合する方法について説明します。
Oracle Privileged Account Manager (OPAM)と統合することもできます。すべての使用可能な手順へのリンクが表1-2および表1-3に表示されます。
この章では、次の内容を説明します。
Oracle Access Management Access Manager (Access Manager)、Oracle Adaptive Access Manager (OAAM)およびOracle Identity Manager (OIM)の統合では、後の2製品のセキュアなパスワード収集機能がAccess Managerによって保護されたアプリケーションに追加されます。
セキュアなパスワード収集およびチャレンジ関連機能には、次のようなものがあります。
認証プロセスの細かい制御および、OAAMポリシーに対する認証前および認証後チェックの全機能。Access Managerは認証および認可サービスとして動作するのに対し、Oracle Adaptive Access Managerは豊富で強力なオーセンティケータを提供してリスクおよび不正分析を実行します。
Oracle Adaptive Access Managerの堅牢なチャレンジ質問機能セット。Oracle Identity Managerのより限定的なセットはこれに置き換えられます。
パスワード検証、ストレージおよび伝播の責務とワークフローの機能の制御
パスワードの期限切れおよびパスワード忘れに対する支援をせず、パスワードを作成および再設定する機能
1つの認証ステップでの複数アプリケーションへのセキュアなアクセス
Access Managerによりそれ自体のアイデンティティ・サービスは提供されず、かわりにAccess Managerで次のようにします。
Oracle Identity Manager、LDAPディレクトリおよび他のソースによって提供されるアイデンティティ・サービスを使用します。
Oracle Identity ManagerおよびOracle Adaptive Access Managerと統合し、Access Managerによって保護されたアプリケーションに各種のセキュアなパスワード収集機能を提供します。
役割は次のように分割されます。
表3-1 統合における各コンポーネントの役割
| コンポーネント | 役割 |
|---|---|
|
Oracle Adaptive Access Manager |
次の役割を担います。
|
|
Oracle Identity Manager |
次の役割を担います。
|
|
Access Manager |
次の役割を担います。
|
統合シナリオでは、Access Managerは認証および認可モジュールとして動作するのに対し、Oracle Adaptive Access Managerは強力なオーセンティケータを提供してリスクおよび不正分析を実行します。
Access ManagerによりOracle Adaptive Access Managerの強力な認証機能を利用する方法には、次の2つがあります。
OAAMとAccess Managerとの基本統合
ナレッジベース認証(KBA)など、ログイン・セキュリティを追加するAccess Managerユーザーは、OAAMとAccess Managerとの基本統合(OAAM基本)を使用できます。このオプションではまだOAAM管理サーバーが必要ですが、個別のOAAMサーバーのデプロイメントは不要です。OAAM機能には、ネイティブのOAAMコールによりアクセスします。OAAM基本では、TAPを使用したOAAMとAccess Managerとの拡張統合(TAPを使用したOAAM拡張)よりフットプリントが小さくなります。
OAAM基本とTAPを使用したOAAM拡張との違いは、OAAM基本では、ワンタイム・パスワード(OTP)やステップアップ認証などの拡張機能にアクセスできないという点です。また、このネイティブ統合は、基本画面のブランド以外にカスタマイズできません。
OAAM基本は、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合で使用できません。
OAAMとAccess Managerとの拡張統合
ネイティブ統合で使用可能なもの以上の拡張機能およびカスタマイズを必要とするAccess Managerユーザーは、OAAMとAccess Managerとの拡張統合(TAPを使用したOAAM拡張)を使用できます。Java Oracle Access Protocol (OAP)ライブラリ、Oracle Access ManagerとOracle Adaptive Access Managerの統合を利用するには、完全なOAAMデプロイメントが必要です。
実装の詳細は、付録Cの「Oracle Adaptive Access ManagerとAccess Managerの統合」を参照してください。
Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合することによって、Access Managerによって保護されたアプリケーション向けにパスワード管理機能を実装できます。
この項では、パスワード管理のデプロイメント・オプションについて説明します。各デプロイメントでサポートされるシナリオおよび各シナリオを実現するフローの詳細は第1.5項「一般的な統合のシナリオ」を参照してください。
パスワード管理のコンテキストでは、Access Managerは様々なデプロイ・モードで動作します。
認証およびパスワード管理のためにAccess ManagerとOracle Identity Managerを統合します。
詳細は、第1.5.3.1項「Access ManagerをOracle Identity Managerと統合する場合」を参照してください。
認証、パスワード管理、不正検出および追加機能のためにAccess Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合します。
処理フローの詳細は、第1.5項「一般的な統合のシナリオ」を参照してください。
実装の詳細は、第3.3項「統合ロードマップ」を参照してください。
Access Managerは、Oracle Access Managementコンソールを介してパスワード・ポリシー管理機能も提供します。パスワード・ポリシーは、Access Managerによって保護されるすべてのリソースに適用されます。この機能は、この章に記載されているAccess Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合では使用されません。このOracle Access Management機能の詳細は、『Oracle Access Management管理者ガイド』の共通サービス、証明書の検証およびパスワード・ポリシーの管理に関する項を参照してください。
この項では、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合に関係する主な定義、頭文字および略語を示します。
表3-2 拡張統合に関する用語
表3-3は、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合のための高レベルのタスクをリストしたものです。
表3-3 Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合フロー
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
|
2 |
Access ManagerとOracle Identity Managerを統合します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合」を参照してください。 |
|
3 |
Oracle Identity Managerに対する構成済のLDAP同期。これは、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合に必要となります。 |
詳細は、「Oracle Identity Managerに対するLDAP同期の有効化」を参照してください。 |
|
4 |
Access ManagerとOracle Adaptive Access Managerを統合します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合」を参照してください。 |
|
5 |
OAAMとOIMの統合を設定します。 |
詳細は、「Oracle Identity ManagerとOracle Adaptive Access Managerの統合」を参照してください。 |
|
6 |
各自の要件によっては必要となる可能性のある追加の構成を実行します。 |
詳細は、「デプロイメントに応じた追加構成の実行」を参照してください。 |
Oracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを統合する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
|
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。完全なインストール情報については、『Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表3-4は、Oracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントをリストしたものです。
表3-4 Access Manager、OAAMおよびOIMの統合に必要なコンポーネント
| コンポーネント | 情報 |
|---|---|
|
Oracleデータベース |
Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。 詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のデータベースの前提条件に関する項を参照してください。 認証されたデータベースの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementのシステム要件と仕様 11gリリース2 (11.1.2)のデータベース要件に関する項を参照してください。 |
|
Repository Creation Utility (RCU) |
リポジトリ作成ユーティリティをインストールおよび実行し、データベースにAccess Manager、OAAMおよびOIMのスキーマを作成します。インストールしている製品とバージョン互換性のあるリポジトリ作成ユーティリティを使用する必要があります。 注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)コンポーネントのデータベース・スキーマを作成する前に、Oracle Fusion Middleware Repository Creation Utilityの11gリリース2 (11.1.2.3.0)バージョンを使用する必要があります。 Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)はOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』ののOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成に関する項および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 Oracle DatabaseのRCU要件の詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントでOracle DatabaseのRCU要件に関する項を参照してください。 |
|
Oracle Unified Directory |
Oracle Unified Directory (OUD)はユーザーのLDAPアイデンティティ・ストアとして構成されます。詳細は、第2.3項「アイデンティティ・ストアの構成」を参照してください。 他のコンポーネントLDAPサーバーも可能です。サポートされている構成の詳細は、第2.3項「アイデンティティ・ストアの構成」を参照してください。 |
|
Access Manager用Oracle WebLogic Server、Oracle Adaptive Access Manager、Oracle Identity ManagerおよびOracle HTTP Server |
Oracle WebLogic Serverをインストールする前に、ご使用のマシンがシステム、パッチ、カーネルおよびその他の要件を満たしていることを確認します。 Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerは、同じWebLogicドメインにも、別のWebLogicドメインにも構成できます。デフォルトでは、Access ManagerとOAAMのアプリケーションは別のWebLogicドメインに構成されます。 Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。 |
|
Access Manager |
Access Managerのインストールおよび構成については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 異なるWebLogicサーバーにOracle Access Management Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerをインストールします。 Oracle Adaptive Access ManagerおよびAccess Managerは新規または既存のWebLogicドメインに配置できます。これらは同じドメインに配置することも、別のWebLogicドメインに配置することもできます。 インストール時に、Access Managerはデータベース・ポリシー・ストアとともに構成されます。Access ManagerとOracle Adaptive Access Managerの接続には、データベース・ポリシー・ストアが必要です。 |
|
OAAM |
Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 |
|
OIM |
詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールと構成に関する項およびOracle Identity Managerの構成に関する項を参照してください。 注意: Oracle Identity Managerを構成する際、LDAPディレクトリがアイデンティティ・ストアとして使用されるように構成する必要があります。LDAP同期の有効化の要件を含め、すべてのインストール指示に従ってください。詳細は、「Oracle Identity ManagerにおけるLDAP同期の有効化」を参照してください。 注意: Oracle Identity Managerのインストール時に、wlfullclient.jarを作成する必要があります。このファイルは統合手順を実行する前に存在している必要があります。慎重にインストール手順に従ってください。wlfullclient.jarの作成の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』の構成後手順に関する項を参照してください。 |
|
Oracle SOA Suiteおよびパッチ |
SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。 |
|
Oracle HTTP Server |
HTTP Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。 |
|
Oracle HTTP Server 11gインスタンス上のOracle HTTP Server 11gのOracle Access Manager 10gまたはAccess Manager 11gエージェント(Webゲート) |
Access ManagerとともにWebゲートをインストールする前に、Oracle Technology NetworkからOracle Fusion Middlewareでサポートされているシステム構成を確認して、デプロイメントに使用する10gまたは11g Webゲートの証明書情報を検索します。 Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。 Access Manager 11gで使用するための11g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 |
次の手順は、すぐに使用できる統合によりAccess ManagerとOracle Identity Managerが統合されていることを前提としています。
|
注意: 必要に応じて、Oracle Access Management Access ManagerおよびOracle Adaptive Access Managerを別のドメインまたは同じWebLogicドメインにインストールできます。複数のドメインに対するインストールでは、 次の統合手順では、参照用に、Oracle Access Management Access Managerが含まれているWebLogic Serverドメインを |
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity ManagerおよびAccess Managerの間の統合が必要です。
詳細は、第2章「Access ManagerとOracle Identity Managerの統合」を参照してください。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity Manager用のLDAP同期の有効化が必要です。
Oracle Adaptive Access Managerは、Oracle Identity Managerが同期するのと同じディレクトリで動作します。
|
注意: UIDはLDAPストア内の新しく作成されたユーザーのCNに一致する必要があり、そうしないとログインが失敗します。 |
Oracle Identity Managerに対するLDAP同期の有効化の詳細は、付録E「Oracle Identity ManagerにおけるLDAP同期の有効化」を参照してください。
このタスクでは、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合の一環として、Access ManagerとOracle Adaptive Access Managerのコンポーネントを統合することによって、パスワード管理およびチャレンジ関連機能をAccess Managerによって保護されたアプリケーションに提供します。
Access ManagerとOracle Adaptive Access Managerの統合は、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作するように構成します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信します。この統合では、OAMサーバーは保護されたリソースにリダイレクトします。
Oracle Adaptive Access ManagerとAccess Managerの統合の詳細は、付録Cの「Oracle Adaptive Access ManagerとAccess Managerの統合」を参照してください。
表3-5は、Access ManagerとOracle Adaptive Access Managerの統合のための大まかなタスクをリストし、その手順が示されている場所への参照を示しています。
この構成手順では、Access ManagerとOracle Adaptive Access Managerをすぐに使用できる統合を使用して統合することを前提としています。
表3-5 Access ManagerとOracle Adaptive Access Managerとの統合フロー
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
|
2 |
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
|
3 |
OAAM管理ユーザーおよびOAAMグループを作成します。OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。 |
詳細は、「OAAMユーザーおよびOAAMグループの作成」を参照してください。 |
|
4 |
OAAMベース・スナップショットをインポートします。Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、スナップショットをシステムにインポートする必要があります。 |
詳細は、「Oracle Adaptive Access Managerスナップショットのインポート」を参照してください。 |
|
5 |
Access Managerが正しく設定されたことを確認します。Oracle Access Managementコンソールに正常にログインできる必要があります。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
|
6 |
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
|
7 |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。 |
Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。 Access Manager 11gで使用するための11g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 |
|
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。 |
詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。 |
|
9 |
エージェント・パスワードを設定します。Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOracle Adaptive Access Managerによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOracle Adaptive Access Managerで統合に使用される前に、パスワードを設定する必要があります。 |
詳細は、「IAMSuiteAgentプロファイルへのエージェント・パスワードの追加」を参照してください。 |
|
10 |
IAMSuiteAgentを更新します。 |
詳細は、「IDMドメイン・コンソールのドメイン・エージェントを使用した場合のドメイン・エージェント定義の更新」を参照してください。 |
|
11 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
|
12 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「OAAMでのAccess Manager TAP統合プロパティの設定」を参照してください。 |
|
13 |
OAAM TAPSchemeを使用するように統合を構成して、IAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護します。 |
詳細は、「TAPSchemeを使用してIAMSuiteAgentアプリケーション・ドメイン内のIdentity Managementリソースを保護するための統合の構成」を参照してください。 |
|
14 |
ポリシーで保護されたリソースのポリシーでOAAM TAPSchemeを使用してリソースが保護されるように認証スキームを構成します。 |
詳細は、「TAPSchemeにより保護されるリソースの構成」を参照してください。 |
|
15 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合の検証」を参照してください。 |
この項では、Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの3方向統合のために、Oracle Identity ManagerとOracle Adaptive Access Managerを統合する方法について説明します。
Oracle Adaptive Access Manager用のOracle Identity Managerプロパティの設定
Oracle Identity ManagerとOracle Adaptive Access Manager間のクロス・ドメインの信頼の構成
Oracle Identity ManagerのかわりにOracle Adaptive Access Managerがチャレンジ質問機能を提供するためには、Oracle Identity Managerで、OIM.ChangePasswordURLプロパティおよびOIM.ChallengeQuestionModificationURLプロパティが有効なOAAM URLに設定され、OIM.DisableChallengeQuestionsがtrueに設定される必要があります。各プロパティを設定するには、次の手順を実行します。
Oracle Identity Managerプロパティを変更するには、次の手順を実行します。
Oracle Identity System Administrationにログインします。
左ペインの「システム構成」で、「構成プロパティ」をクリックします。
「システム構成」セクションの左ペインで、「拡張検索」をクリックします。
「検索」フィールドにプロパティ名を入力します。
「検索」フィールドの横のアイコンをクリックします。
検索結果表で、プロパティをクリックしてそのプロパティの詳細を開きます。
表3-6に示されているとおりにプロパティを設定します。次に、「保存」をクリックします。
|
注意: URLには、Access Managerで構成されたホスト名を使用します。たとえば、Access Managerの構成中に完全なホスト名(ドメイン名あり)を指定した場合は、URLに完全なホスト名を使用します。 |
表3-6 Oracle Identity Managerのリダイレクト
| プロパティ | プロパティ名および値 |
|---|---|
|
OIM.DisableChallengeQuestions |
|
|
OIM.ChangePasswordURL |
Oracle Adaptive Access Managerにあるパスワード変更ページのURL http://oaam_server_managed_server_host: oaam_server_managed_server_port/ oaam_server/oimChangePassword.jsp 高可用性(HA)環境では、OAAMサーバーの仮想IP URLを指すようにこのプロパティを設定します。 |
|
OIM.ChallengeQuestionModificationURL |
Oracle Adaptive Access Managerにあるチャレンジ質問変更ページのURL http://oaam_server_managed_server_host: oaam_server_managed_server_port/ oaam_server/oimResetChallengeQuestions.jsp |
Oracle Identity Managerの管理対象サーバーを再起動します。
Oracle Identity Manager用にOAAMプロパティを設定する手順は次のとおりです。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
プロパティ・エディタへのアクセスが可能なユーザーとしてログインします。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
「値」をクリックします。新しい値を入力し「保存」をクリックします。
デプロイ内容に従って、次のプロパティを設定します。
表3-7 Oracle Identity Managerのプロパティ値の構成
| プロパティ名 | プロパティ値 |
|---|---|
|
bharosa.uio.default.user.management.provider.classname |
com.bharosa.vcrypt.services.OAAMUserMgmtOIM |
|
oaam.oim.auth.login.config |
${oracle.oaam.home}/../designconsole/
config/authwl.conf
|
|
oaam.oim.url |
t3://OIM-Managed-Server:OIM-Managed-Port 次に例を示します。 t3://host.mycorp.example.com:14000 |
|
oaam.oim.xl.homedir |
${oracle.oaam.home}/../designconsole
|
|
bharosa.uio.default.signon.links.enum.selfregistration.url |
自己登録のURLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ register?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/register?&backUrl=http://OHS-HOST:OHS-PORT/identity |
|
bharosa.uio.default.signon.links.enum.trackregistration.url |
登録のトラッキングのURLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ trackregistration?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/trackregistration?&backUrl=http://OHS-HOST:OHS-PORT/identity |
|
bharosa.uio.default.signon.links.enum.trackregistration.enabled |
|
|
bharosa.uio.default.signon.links.enum.selfregistration.enabled |
|
|
oaam.oim.csf.credentials.enabled |
このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
|
bharosa.uio.default.singlelogin.links.enum.selfregistration.enabled |
「シングル・ログイン・ページ」モードが有効化されている場合にのみ、このプロパティを 「シングル・ログイン・ページ」モード(ユーザー名およびパスワードの入力欄が同じページにあり)は、OAAMカスタマイズを介して有効化されます。「シングル・ログイン・ページ」モードの詳細は、『Oracle Adaptive Access Manager開発者ガイド』の「シングル・ログイン・ページ」の構成に関する項を参照してください。 |
|
bharosa.uio.default.singlelogin.links.enum.selfregistration.url |
「シングル・ログイン・ページ」モードが有効化されている場合の、「自己登録」リンクのURL。 URLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ register?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/register?&backUrl=http://OHS-HOST:OHS-PORT/identity |
|
bharosa.uio.default.singlelogin.links.enum.trackregistration.enabled |
「シングル・ログイン・ページ」モードが有効化されている場合にのみ、このプロパティを 「シングル・ログイン・ページ」モード(ユーザー名およびパスワードの入力欄が同じページにあり)は、OAAMカスタマイズを介して有効化されます。「シングル・ログイン・ページ」モードの詳細は、『Oracle Adaptive Access Manager開発者ガイド』の「シングル・ログイン・ページ」の構成に関する項を参照してください。 |
|
bharosa.uio.default.singlelogin.links.enum.trackregistration.url |
「シングル・ログイン・ページ」モードが有効化されている場合の、「追跡登録」リンクのURL。 URLは次のとおりです。 http://OIM-Managed-Server-Host: OIM-Managed-Server-Port/identity/faces/ trackregistration?&backUrl=http://OIM-Managed-Server-Host:OIM-Managed-Server-Port/identity 注意: Oracle HTTP ServerがOIMの前で構成されている場合、OIM管理対象サーバーのホストとポートではなく、Oracle HTTP Serverのホストとポートを値で使用する必要があります。次に例を示します。 http://OHS-HOST:OHS-PORT/identity/faces/trackregistration?&backUrl=http://OHS-HOST:OHS-PORT/identity |
様々なアクティビティを実行するには、Oracle Adaptive Access ManagerにOIM管理者の資格証明が必要です。Oracle Identity Manager Webゲートの資格証明の鍵は、MAPのoaamに作成されます。OIMの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOAAMドメインに追加します。
Oracle Fusion Middleware Enterprise Managerコンソールにログインします。
http://weblogic_host:administration_port/em
WebLogic管理者としてログインする必要があります。たとえば、WebLogicです。
左側ペインのナビゲーション・ツリーでベース・ドメインを展開します。
ドメイン名を選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択し、「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
Oracle Identity ManagerとOracle Adaptive Access Managerが別のドメインにあるため、クロス・ドメインの信頼を構成する必要があります。
Oracle Adaptive Access Managerドメインでクロス・ドメインの信頼を構成します。
Oracle Adaptive Access ManagerのWebLogic管理コンソールにログインします。
ドメインをクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
共有秘密を選択し、これを「資格証明」フィールドと「資格証明の確認」フィールドに入力します。
構成の変更を保存します。
Oracle Identity Managerドメインでクロス・ドメインの信頼を構成します。
Oracle Identity ManagerのWebLogic管理コンソールにログインします。
ドメインをクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
共有秘密を選択し、これを「資格証明」フィールドと「資格証明の確認」フィールドに入力します。
OAAMドメインでクロス・ドメインの信頼を構成したときに使用したものと同じ共有秘密を使用します。
構成の変更を保存します。
要件によっては、前述のタスクの他にタスクを実行する必要が生じる場合があります。
Access ManagerとOAAMの統合については、第C.6項「Access ManagerとOAAMとの統合のその他の構成タスク」を参照してください。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境がJDK 7を使用する場合、次のJAVAシステム・プロパティをOAAM_DOMAIN/bin/setDomainEnv.shスクリプトに追加してOAAMサーバーを再起動します。
-Djava.security.auth.login.config=${ORACLE_HOME}/designconsole/config/authwl.conf
Access Manager、OAAMおよびOracle Identity Managerの統合環境でOracle Identity ManagerまたはAccess Managerをアップグレードした場合、IAMスイート・ドメイン下のProtected HigherLevelおよびProtected LowerLevelの両方のポリシーに対して、認証スキームをLDAPSchemeからTAPSchemeに変更します。これを行うには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイートと入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートをクリックしてから「編集」をクリックします。
IAMスイート・アプリケーション・ドメインで、「認証ポリシー」タブをクリックします。
「Protected HigherLevel Policy」をクリックして、その構成を表示します。
「認証スキーム」フィールドで、LDAPスキームをTAPSchemeに変更して「適用」をクリックします。
IAMスイートタブに移動して、「認証ポリシー」タブをクリックします。
「Protected LowerLevel Policy」をクリックして、その構成を表示します。
「認証スキーム」フィールドで、LDAPスキームをTAPSchemeに変更して「適用」をクリックします。
Access ManagerおよびOAAMが同じドメイン内にあってOracle Identity Managerが別のドメイン内にある、11gリリース2 (11.1.2.3)のAccess Manager、Oracle Identity ManagerおよびOAAMの統合環境のテストから本番にOIMドメインを移動した後、次の操作が必要です。
IAMスイート・アプリケーション・ドメイン下のProtected HigherLevel Policyの認証スキームとして「TAPScheme」を選択します。
IAMスイート・アプリケーション・ドメイン内のリソース/oamTapAuthenticateの認証スキームが「LDAPScheme」であることを確認します。
IAMスイート・ドメインでIdentity Management製品リソースにTAPscheme、Protected HigherLevel Policyを使用するには、次の構成を実行する必要があります。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイートと入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートをクリックしてから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックします。
「Protected HigherLevel Policy」をクリックして、その構成を表示します。
「認証スキーム」フィールドで、LDAPスキームをTAPSchemeに変更して「適用」をクリックします。
「リソース」タブで、「リソース」表の「/oamTAPAuthenticate」をクリックします。
表で「削除」ボタンをクリックします。
「適用」をクリックして変更を送信し、確認ウィンドウを閉じます。
(IAMスイート・アプリケーション・ドメイン内の)リソース/oamTapAuthenticateの認証スキームが「LDAPScheme」であることを確認します。認証スキームがLDAPSchemeである場合、追加の変更は不要です。
認証スキームがLDAPSchemeではない場合、次の手順を実行します。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックし、次に「作成」ボタンをクリックして、「認証ポリシーの作成」ページを開きます。
「名前」フィールドに、一意の名前を入力します。
認証スキームに、LDAPSchemeを選択します。
「リソース」タブをクリックします。
「リソース」タブで「追加」ボタンをクリックします。
「検索」ボタンをクリックします。
結果表で「/oamTAPAuthenticate」をクリックします。
「選択済の追加」をクリックします。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
この項では、Access Manager、OAAMおよびOIMの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
機能しないURLに遭遇します。たとえば、「パスワードを忘れた場合」リンクをクリックしてもログイン・ページにリダイレクトされます。
原因
Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できません。
解決策
Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。詳細は、『Oracle Adaptive Access Managerの管理』のOracle Adaptive Access Manager環境の設定に関する項を参照してください。
正しくないパスワードを入力すると、ユーザーはリダイレクトのループに入ります。
原因
ログイン・ページの値が正しくありません。
解決策
ユーザーが正しくないパスワードを入力したときにリダイレクト・ループが発生した場合は、「OAAMプロパティ」ページでoaam.uio.login.pageプロパティが適切に設定されていることを確認してください。oaam.uio.login.pageプロパティの値は、/oaamLoginPage.jspに設定される必要があります。Oracle Adaptive Access Managerのプロパティ設定の詳細は、『Oracle Adaptive Access Managerの管理』のプロパティ・エディタの使用に関する項を参照してください。
ユーザーは、OIMのパスワードを忘れた場合、OIMのパスワードのリセット、またはOIMのチャレンジ質問設定のページにリダイレクトされます。
原因
Access Managerのリソースに対する認証スキームが正しく構成されませんでした。
解決策
2つのアプリケーションが同じアイデンティティ・ストアをポイントしている場合(同じユーザー・セットが異なるアプリケーションへのアクセスを保有)、Access Managerで保護されたリソースには両方のアプリケーションと同じ認証および認可ポリシーが必要です。
ユーザーがOAAMからログインし、Access Managerにより正常に認証されると、Access Managerは2つの同時セッションを作成します。
原因
OAM、OAAMおよびOIMの統合環境では、どのような認証でもOracle Access Management Access Managerで2つのユーザー・セッションが作成されます(Oracle Access Managementコンソールの「セッション管理」の下のOAM_SESSIONS表内のMDSに表示されます)。
1つのセッションはIAMSuiteAgentによって、もう1つのセッションはWebゲートによって作成されます。
解決策
プロパティoaam.uio.oam.authenticate.withoutsessionの値をチェックします。
テスト・ログインURL /oaam_serverは、Access Managerの統合に進む前に、OAAM構成が動作していることを検証するため使用されます。このURLは、Access ManagerとOAAMの統合後の使用を意図したものではありません。
Oracle Identity ManagerおよびOAAMの統合環境でユーザーが「パスワードのリセット」リンクをクリックすると、Oracle Identity Managerクライアントの初期化エラーが発生する場合があります。次のようなエラーが、OAAMサーバーの管理対象サーバー・ログ・ファイルのOAAM_DOMAIN/servers/oaam_server/logsに記録されます。
<Oct 17, 2014 9:04:29 AM PDT> <Error> <oracle.oaam> <BEA-000000> <Error loading plugin instance for className=com.bharosa.vcrypt.services.OAAMUserMgmtOIM java.lang.IllegalArgumentException: No Configuration was registered that can handle the configuration named xellerate at com.bea.common.security.jdkutils.JAASConfiguration.getAppConfigurationEntry(JA ASConfiguration.java:130) at javax.security.auth.login.LoginContext.init(LoginContext.java:259) at javax.security.auth.login.LoginContext.<init>(LoginContext.java:425) at Thor.API.Security.LoginHandler.weblogicLoginHandler.login(weblogicLoginHandler .java:58) at oracle.iam.platform.OIMClient.login(OIMClient.java:212) at oracle.iam.platform.OIMClient.login(OIMClient.java:196) at com.bharosa.vcrypt.services.OAAMUserMgmtOIM.init(OAAMUserMgmtOIM.java:415) at com.bharosa.vcrypt.services.OAAMUserMgmtOIM.<init>(OAAMUserMgmtOIM.java:89)
エラーが発生した場合、次のJAVAシステム・プロパティをOAAM_DOMAIN/bin/setDomainEnv.shスクリプトに追加してOAAMサーバーを再起動します。
-Djava.security.auth.login.config=${ORACLE_HOME}/designconsole/config/authwl.conf
