Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
前 |
次 |
Oracle Adaptive Access Manager (OAAM)とOracle Access Management Access Manager (Access Manager)を統合すると、認証プロセスを細かく制御して、Oracle Adaptive Access Managerポリシーに対する認証前および認証後チェックの全機能を使用できるようになります。
この章では、リスクベースの認証によりリソースを保護するためにAccess ManagerをOracle Adaptive Access Managerと統合するステップごとの手順を説明します。細かい手順は、ユーザー固有のデプロイメントによって異なる場合があります。必要に応じて情報を環境に適応させてください。
「基本統合トポロジ」の説明のように、統合手順ではIdentity Managementコンポーネントが別々のWebLogicドメインで構成されていることが前提です。この統合例で示したコンポーネントのインストールおよび構成の前提条件と詳細については、『Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
「エンタープライズ統合トポロジ」の説明のように、Oracle Identity Managementコンポーネントをエンタープライズ統合トポロジでデプロイしている場合は、実装手順について『Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド』を参照してください。Access ManagerおよびOracle Adaptive Access Managerの高可用性環境の設計およびデプロイを予定している場合は、概念および構成手順について高可用性ガイドを参照してください。
この付録の内容は次のとおりです。
注意: Oracle Identity Managerの統合では、パスワード収集に関連する追加機能が提供されます。詳細は、第3章「Access Manager、OAAMおよびOIMの統合」を参照してください。 |
Oracle Access Management Access Manager (Access Manager)は、Webシングル・サインオン(SSO)、認証、認可、ポリシーとエージェントの集中管理、リアルタイム・セッション管理および監査のコア機能を提供します。
Oracle Adaptive Access Manager 11gは、強力かつデプロイの容易なリスク・ベース認証、フィッシング対策、およびマルウェア対策の各種機能を駆使して最重要のオンライン・ビジネス・アプリケーションを保護します。
この統合シナリオにより、Access Managerを使用してリソースへのアクセスを制御し、Oracle Adaptive Access Managerを使用して強力なマルチファクタ認証と事前対応型のリアルタイムな詐欺防止を実現できるようになります。拡張ログイン・セキュリティには、仮想認証デバイス、デバイスのフィンガープリント、リアルタイム・リスク分析およびリスクベースのチャレンジが含まれます。
Oracle Adaptive Access ManagerとAccess Managerは、次の2通りの方法のいずれかで統合できます。
OAAM基本
TAPを使用したOAAM拡張
各デプロイメントでサポートされるシナリオおよび各シナリオを実現するフローの詳細は第1.5項「一般的な統合のシナリオ」を参照してください。
注意: OAAMBasicおよびOAAMAdvanced認証スキームを使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合は11.1.2.2から非推奨であり、12.1.4以降のリリースではサポートされなくなります。OAAMBasicおよびOAAMAdvanced (TAPなし)での統合ではなく、信頼できる認証プロトコル(TAP)を使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合を使用することをお薦めします。 |
表C-1は、Access ManagerとOracle Adaptive Access Managerの統合タイプをまとめたものです。
表C-1 Access ManagerとOracle Adaptive Access Managerとの統合のタイプ
詳細 | OAAM基本 | OAAM拡張 | TAPを使用したOAAM拡張 |
---|---|---|---|
使用可能 |
11.1.1.3.0から12.1.4 |
11.1.1.3.0および11.1.1.5以前 |
11.1.1.5.0以上 TAPを使用したOAAM拡張は、サポートされているOAAMとAccess Managerとの拡張統合です。 |
Access Managerユーザー |
ナレッジベース認証(KBA)などのログイン・セキュリティの追加を必要とするAccess Managerユーザーの場合。 |
OAAM基本で使用可能なもの以上の拡張機能およびカスタマイズを必要とするAccess Managerユーザーの場合。 |
OAAM基本で使用可能なもの以上の拡張機能およびカスタマイズを必要とするAccess Managerユーザーの場合。このオプションには、OAAM拡張(TAPなし)で提供されないステップ認証が含まれます。 |
機能 |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム。 この統合で使用できるチャレンジ・メカニズムは、KBAのみです。 異なるフロー(チャレンジ、登録、その他のフローなど)のライブラリおよび構成インタフェース。Oracle Adaptive Access Managerから使用できる、ログイン・セキュリティの数多くのユース・ケース |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 また、必要に応じて、システム・インテグレータを介して、OAAMとサード・パーティのシングル・サインオン製品を統合することもできます。 |
認証スキーム、デバイスのフィンガープリント、リスク分析、KBAチャレンジ・メカニズム、およびステップアップ認証などその他の高度なセキュリティ・アクセス機能。 OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの拡張機能および拡張性。 また、必要に応じて、システム・インテグレータを介して、OAAMとサード・パーティのシングル・サインオン製品を統合することもできます。 |
デプロイメント |
ネイティブ統合
OAAM管理サーバーが必要です。 OAAM管理対象サーバーはこのデプロイメントで不要です。 この統合で使用できるチャレンジ・メカニズムは、KBAのみです。 機能には、ネイティブのOAAMコールによりアクセスします。 |
リダイレクトおよびAPI経由の統合 OAAM拡張ではOAAM管理およびOAAM管理対象サーバーの全デプロイメントが必要です。 Java Oracle Access Protocol (OAP)ライブラリを活用します。 |
TAPを使用したOAAM拡張ではOAAM管理およびOAAM管理対象サーバーの全デプロイメントが必要です。 Java Oracle Access Protocol (OAP)ライブラリを活用します。 |
OAAMデータベース |
必須 |
必須 |
必須 |
サポートされているエージェント |
10g Webゲートおよびシングル・サインオン(OSSO)エージェント |
10g Webゲート |
10gまたは11g Webゲート |
認証スキーム |
OAAMBasic デフォルト・コンテキスト・タイプでOAAM関連リソースを保護します。OAAMとの基本統合が必要な場合、このスキームを使用する必要があります。ここでは、OTPなどの拡張機能はサポートされません。 OAAMBasicスキームの詳細は、『Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
OAAMAdvanced 外部コンテキスト・タイプでOAAM関連リソースを保護します。OAAMとの完全な統合が必要な場合、この認証スキームが使用されます。Webゲートは、パートナのフロント・エンド処理を行う必要があります。 OAAMAdvancedスキームの詳細は、『Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
TAPScheme TAPを使用するAccess ManagerおよびOAAMの統合でリソースを保護します。 このスキームはサード・パーティに認証を委任して、Access Managerが戻されたトークンをアサートします。 TAPSchemeスキームの詳細は、『Oracle Access Management管理者ガイド』の認証スキームの管理に関する項を参照してください。 |
OAAMフローのカスタマイズおよび拡張機能の許可 |
いいえ OAAM基本は、基本画面のブランド以外にカスタマイズできません。 |
はい より構成可能なユーザー・フロー |
はい より構成可能なユーザー・フロー |
セルフサービスのパスワード管理フロー |
いいえ。 OAAM基本はOracle Identity Managerと統合できません |
はい OAAM拡張はOracle Identity Managerと統合できます |
はい TAPを使用したOAAM拡張はOracle Identity Managerと統合できます。 |
フローの終了 |
OAMは認証後ルールを実行するためにOAAM APIをコールします。結果に基づいて適切なページをレンダリングします。 |
OAAMは認証後ルールを実行して、リスクを判断してアクションを実行します。OAAMはSSO cookieを設定して、リクエストされたリソースにユーザーをリダイレクトします。 |
OAAMは認証後ルールを実行して、リスクを判断してアクションを実行します。Access ManagerはSSO cookieを設定して、リクエストされたリソースにユーザーをリダイレクトします。 |
非推奨 |
はい 11.1.2.2以降、非推奨となり、12.1.4および今後のリリースでサポート対象外となります。 |
はい 11.1.2.2以降、非推奨となり、12.1.4および今後のリリースでサポート対象外となります。 |
いいえ |
参照先 |
第C.3項「OAAMとAccess Managerとの基本統合」を参照してください。 |
11gリリース1 (11.1.1)のバージョンのOAAMのAccess Managerとの拡張統合については、このバージョンの『Oracle Fusion Middleware Oracle Access Manager統合ガイド』を参照してください。 |
第C.4項「OAAMとAccess Managerとの拡張統合」を参照してください。 |
認証フローの詳細は、『Oracle Adaptive Access Managerの管理』のOAAM認証、パスワード管理および顧客対応フローに関する項を参照してください。
この項では、この統合に関係する主な定義、頭文字および略語を示します。
表C-2 OAAMとAccess Managerの統合用語
ネイティブ統合であるOAAMとAccess Managerとの基本統合では、Identity Management Middleware WebLogicドメイン内のOAMサーバー(Access Managerに組み込まれています)とOAAM管理サーバー、および動作するOAAMデータベースが必要です。この統合で使用できるチャレンジ・メカニズムは、ナレッジベース認証(KBA)のみです。
OAAM管理サーバーは、Access Manager管理者により、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびOracle Adaptive Access Manager機能の構成に使用されます。ポリシーがインポート、エクスポートまたは構成されると、その変更がOAAMデータベースに保存されます。
Oracle Adaptive Access Managerは、拡張機能ライブラリを通じてAccess Managerに統合され、これらを直接使用します。このデプロイメントでは、ルール・エンジンおよびOracle Adaptive Access Managerのランタイム機能は、これらのライブラリを使用して提供されるため、OAAMサーバーは必要ありません。ユーザーが登録フローに入ると、Access Managerは、ユーザーに対して仮想認証デバイスを表示し、OAAMライブラリを使用してAPIコールを行うことによって認証前ポリシーを実行します。OAAMライブラリは、内部的にJDBCコールを行って、ユーザーに関連するデータをOAAMデータベースに保存します。
この項では、OAAMとAccess Managerとの基本統合の構成方法について説明します。
次のトピックでは、このタイプの統合を実装する方法について説明します。
Oracle Adaptive Access ManagerとAccess Managerを統合する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。完全なインストール情報については、『Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表C-3に、統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを示します。
表C-3 統合に必要なコンポーネント
コンポーネント | 情報 |
---|---|
Access Manager |
Access Managerがインストールされて構成されています。 Access Managerのインストールおよび構成については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Access Managementの構成に関する項を参照してください。 |
Oracle Adaptive Access Manager |
Oracle Adaptive Access Managerがインストールされて構成されています。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 |
管理サーバーおよびAccess Manager管理対象サーバーを起動します。
WebLogic管理サーバーを起動します。
DOMAIN_HOME
/bin/startWeblogic.sh
OAMサーバーをホストしている管理対象サーバーを起動します。
DOMAIN_HOME
/bin/startManagedWeblogic.shoam_server1
管理サーバーおよび管理対象サーバーの起動の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のスタックの起動に関する項を参照してください。
Access ManagerとOracle Adaptive Access Managerの統合を実装するには、この項の手順に従います。
Access Managerでのリソースの作成
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートをクリックしてから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「リソース」タブをクリックしてから、検索結果ツールバーで「作成」をクリックします。
「リソースの作成」ページで、保護されたリソースを作成します。
たとえば、リソースの次の情報を指定します。
ホスト識別子: IDMDomain
リソースURL:/higherriskresource
「適用」をクリックして、このリソースをアプリケーション・ドメインに追加します。
リソースの作成の詳細は、『Oracle Access Management管理者ガイド』のポリシー・リソース定義の追加および管理に関する項を参照してください。
新しい認証ポリシーの作成
「IAMSuiteAgent」で新しい認証ポリシーを作成し、「認証スキーム」をOAAMBasic
に設定します。
この手順では、保護されたリソースをOAAMBasic
認証スキームに関連付けています。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートを選択してから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックしてから、検索結果ツールバーで「作成」ボタンをクリックして、「認証ポリシーの作成」ページを開きます。
「認証ポリシーの作成」ページで、作成しているポリシーに必要な要素を追加します。
「名前」: 識別子として使用される一意の名前。たとえば、HighPolicy
です。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
認証スキーム: OAAMBasic
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
「認証ポリシーの作成」ページで、作成したリソースを追加します。
「リソース」タブをクリックします。
「リソース」タブで「追加」ボタンをクリックします。
「検索」ボタンをクリックして、すべての使用可能なリソースを表示します。
IDMDomain
で作成したリソースのURLを選択します。たとえば、/higherriskresource
などです。
リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
「選択済の追加」をクリックします。
「適用」をクリックして、変更を保存します。
「認証ポリシーの作成」ページで、「レスポンス」タブをクリックしてレスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティティをアサートできます。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
レスポンスの詳細は、『Oracle Access Management管理者ガイド』のSSOのポリシー・レスポンスの追加および管理に関する項を参照してください。
終了する際はページを閉じます。
特定のリソースに対する認証ポリシーの作成の詳細は、『Oracle Access Management管理者ガイド』の特定のリソースに対する認証ポリシーの定義に関する項を参照してください。
新しい認可ポリシーの作成
新しい認可ポリシーを作成します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートをクリックしてから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「認可ポリシー」タブをクリックしてから、検索結果ツールバーで「作成」ボタンをクリックして、「認可ポリシーの作成」ページを開きます。
「サマリー」タブをクリックし、認可ポリシーの一意の名前を入力します。
「リソース」タブをクリックして、「追加」ボタンをクリックします。
「検索」ボタンをクリックして、すべての使用可能なリソースを表示します。
結果表で、IDMDomainのリソースURLをクリックします。
リソースURL: /
higherriskresource
「選択済の追加」をクリックします。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
特定のリソースに対する認可ポリシーの作成の詳細は、『Oracle Access Management管理者ガイド』の特定のリソースに対する認可ポリシーの定義に関する項を参照してください。
OAAM管理コンソールにログインする権限を持つユーザーの作成
OAAM管理コンソールにログインするための適切な権限があるOAAMユーザーを作成し、必要なグループをそのユーザーに付与します。
OAAMユーザーの作成およびそのグループへの割当ての詳細は、第C.4.4項「OAAMユーザーおよびOAAMグループの作成」を参照してください。
oam-config.xmlの変更
テキスト・エディタを使用して、手動でoam-config.xml
ファイルを見つけて変更します。
oam-config.xml
ファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME
/config/fmwconfig
ディレクトリにあります。
次の行を探して、OAAMEnabled
プロパティを次のようにtrue
に設定します。
<Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting>
注意: oam-config.xml ファイルで、この統合を機能させるために、ファイルに指定されたバージョン番号を増分する必要があります。たとえばバージョン番号がファイルで1となっている場合、これを2 に変更します。 |
configureOAAM
のWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーに関連付けます。oam-config.xml
でそのプロパティを有効化する場合は、「OAAMとAccess Managerとの基本統合におけるconfigureOAAMのWLSTコマンドを使用したデータソースの作成」を参照してください。
oam-config.xml
ファイルの詳細は、『Oracle Access Management管理者ガイド』のOracle Access Management構成データ・ファイル: oam-config.xmlに関する項を参照してください。
OAAM管理サーバーの起動
OAAM管理サーバー、oaam_admin_server1
を起動します。
DOMAIN_HOME/bin/startManagedWeblogic.sh oaam_admin_server1
OAAMスナップショットのインポート
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。第C.4.5項「Oracle Adaptive Access Managerスナップショットのインポート」の手順に従って、システムにスナップショットをインポートします。
OAAM管理サーバーのシャットダウン
OAAM管理サーバーのoaam_admin_server1
をシャットダウンします。
DOMAIN_HOME/bin/stopManagedWeblogic.sh oaam_admin_server1
データ・ソースの作成
Oracle WebLogic管理コンソールにログインします。
http://weblogic_admin_server:7001/console
Oracle Adaptive Access ManagerがAccess Managerと同じWebLogicドメイン内にインストールされていないため、Access Managerに対して次の手順を実行します。
次のJNDI名でデータ・ソースを作成します。
jdbc/OAAM_SERVER_DB_DS
注意: データ・ソースの名前は任意の有効な文字列にできますが、JNDI名は前述のとおりにしてください。 |
Oracle Adaptive Access Manager構成の一環として作成したスキーマに対して、OAAMデータベースの接続詳細を指定します。
「サービス」→「データベース・リソース」をクリックし、「OAAM_SERVER_DB_DS」リソースを見つけます。
WebLogic管理コンソールの左上隅にある「ロック」ボタンをクリックして、環境をロックします。
OAAM_SERVER_DB_DSリソースを開き、「ターゲット」タブをクリックします。そこに使用可能なWebLogicサーバーのリストが表示されます。
「管理サーバー」および「oam_server1」をターゲットとしてデータ・ソースに関連付けます。
Oracle WebLogic管理コンソールの左上隅にある「アクティブ化」ボタンをクリックします。
JDBCデータ・ソースの構成については、『Oracle Fusion Middleware Oracle WebLogic Server JDBCデータ・ソースの構成と管理』のJDBCデータ・ソースの構成に関する項を参照してください。
構成のテスト
構成を確認するために、それぞれ1つのリソースを保護している2つのエージェントをリモート登録します。
Oracle Access Managementコンソールを使用して、最初のリソースを認証フローのOAAMBasic
ポリシーに関連付けます。2つ目のリソースをLDAPScheme
に関連付けます。
関連項目: 『Oracle Access Management管理者ガイド』の認証スキームの管理に関する項。 |
これまでに構成済の保護されたリソースにアクセスして、構成を検証します。
ユーザー名を入力するプロンプトが表示されます。さらに別画面でパスワードを入力するプロンプトが表示されます。
ユーザー名およびパスワードが検証されたら、3つのチャレンジ質問を選択し、これらに回答するように求められます。完了後に、保護されたアプリケーションが表示されます。
Oracle Adaptive Access ManagerをAccess Managerと統合すると、企業は、アプリケーションの保護のレベルを大幅に向上させる高度なアクセス・セキュリティ機能を使用できるようになります。フィッシング対策、マルウェア対策、デバイス・フィンガープリント、動作プロファイリング、地理的位置マッピング、リアルタイム・リスク分析、複数のリスク・ベースのチャレンジ・メカニズム(ワンタイム・パスワードおよびナレッジベース認証質問など)の各機能により、アクセス・セキュリティのレベルを向上させることができます。
この項では、TAPを使用したOAAM拡張でOracle Adaptive Access ManagerとAccess Managerを統合する方法について説明します。
TAPを使用したOAAM拡張統合では、OAAM Serverは信頼できるパートナ・アプリケーションとして動作します。OAAMサーバーでは、厳密認証、リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信します。するとOAMサーバーがユーザーを保護されたリソースにリダイレクトします。
OAAMとAccess Managerとの拡張統合シナリオには、Oracle Identity Managerがあるものとないものがあります。
Oracle Identity Managerあり
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。
統合の詳細は、第3章「Access Manager、OAAMおよびOIMの統合」を参照してください。
Oracle Identity Managerなし
環境にOracle Identity Managerが含まれていない場合は、この章で説明されている統合手順に従います。
表C-4は、Oracle Adaptive Access ManagerとAccess Managerとの統合のための大まかなタスクのリストです。
この構成手順では、Oracle Adaptive Access ManagerとAccess Managerをすぐに使用できる統合を使用して統合することを前提としています。
表C-4 OAAMとAccess Managerとの拡張統合のロードマップ
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「OAAMとAccess Managerとの拡張統合の前提条件」を参照してください。 |
2 |
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
3 |
OAAMユーザーを作成します。 |
詳細は、「OAAMユーザーおよびOAAMグループの作成」を参照してください。 |
4 |
OAAMベース・スナップショットをインポートします。 |
詳細は、「Oracle Adaptive Access Managerスナップショットのインポート」を参照してください。 |
5 |
Access Managerが正しく設定されたことを確認します。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
6 |
OAAMが正しく設定されたことを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
7 |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。 |
詳細は、「Oracle Access Managementコンソールを使用したWebゲートのAccess Manager 11gへの登録」を参照してください。 |
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。 |
詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。 |
9 |
エージェント・パスワードをエージェント・プロファイルに追加します。 |
詳細は、「IAMSuiteAgentプロファイルへのエージェント・パスワードの追加」を参照してください。 |
10 |
IAMSuiteAgentを更新します。 |
詳細は、「IDMドメイン・コンソールのドメイン・エージェントを使用した場合のドメイン・エージェント定義の更新」を参照してください。 |
11 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
12 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「OAAMでのAccess Manager TAP統合プロパティの設定」を参照してください。 |
13 |
OAAM TAPSchemeを使用するように統合を構成して、IAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護します。 |
詳細は、「TAPSchemeを使用してIAMSuiteAgentアプリケーション・ドメイン内のIdentity Managementリソースを保護するための統合の構成」を参照してください。 |
14 |
ポリシーで保護されたリソースのポリシーでOAAM TAPSchemeを使用してリソースが保護されるように認証スキームを構成します。 |
詳細は、「TAPSchemeにより保護されるリソースの構成」を参照してください。 |
15 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合の検証」を参照してください。 |
Oracle Adaptive Access ManagerをAccess Managerとともに構成する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。完全なインストール情報については、『Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってください。 |
表C-5に、統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントを示します。
表C-5 統合に必要なコンポーネント
コンポーネント | 情報 |
---|---|
Access Manager |
Access Managerがインストールされて構成されています。 Oracle Identity and Access Management 11gリリース2(11.1.2.3.0)の各ドメインには、データベース・セキュリティ・ストアを構成する必要があります。Oracle Identity and Access Management 11gリリース2(11.1.2.3.0)の論理デプロイメント(論理デプロイメントとは、1つ以上のドメインで実行され、単一のデータベースを使用して製品スキーマを保持するOracle Identity and Access Management製品の集合体です)のドメイン数にかかわらず、すべてのドメインは同じデータベース・セキュリティ・ストアを共有し、同じドメインの暗号化鍵を使用します。データベース・セキュリティ・ストアは最初のドメインの作成時に作成され、新しく作成される各ドメインはすでに作成されているデータベース・セキュリティ・ストアと結合されます。インストール時に、Access Managerはデータベース・セキュリティ・ストアとともに構成されます。Access ManagerとOracle Adaptive Access Managerのワイヤリングにはデータベース・セキュリティ・ストアが必要です。 Access Managerのインストールの詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールと構成(11.1.2.3.0)に関する項を参照してください。 新規または既存のWebLogicドメインでのAccess Managerの構成と、データベース・セキュリティ・ストアの構成の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。 さらに、Access ManagerのOPENモード、SIMPLEモードまたはCERTモードでの構成の詳細は、『Oracle Access Management管理者ガイド』の通信の保護に関する項を参照してください。 |
Oracle Adaptive Access Manager |
Oracle Adaptive Access Managerがインストールされて構成されています。 Oracle Adaptive Access Managerのインストールおよび構成については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2.3.0)のインストールと構成に関する項およびOracle Adaptive Access Managerの構成に関する項を参照してください。 インストールは分割ドメインにあるため、 |
Oracle HTTP Server |
Oracle HTTP Server (OHS)のインストールの詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。 |
Oracle Access Manager 10gまたはAccess Manager 11gエージェント(Webゲート) |
Oracle Access Management 11g Webゲートのインストールの詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g Webゲートのインストールに関する項を参照してください。 Oracle Access Manager 10g Webゲートのインストールの詳細は、『Oracle Access Management管理者ガイド』のAccess Manager 11gによる10g Webゲートの登録および管理に関する項を参照してください。 |
この項のタスクを実行する前に、Oracle Access ManagementコンソールおよびOAAM管理コンソールと管理対象サーバーが稼働していることを確認します。サーバーを再起動するには、次の手順を実行します。
WebLogic管理サーバーを起動します。
OAM_DOMAIN_HOME
/bin/startWeblogic.sh
OAAMがAccess Managerとは異なるWebLogicドメインでインストールおよび構成されているため、OAAM_Domain_Home
にあるWebLogic管理サーバーも起動する必要があります。
OAAM_DOMAIN_HOME/
bin/startWeblogic.sh
OAM_DOMAIN_HOME
はAccess Managerを含むWebLogicドメイン、OAAM_DOMAIN_HOME
はOAAMを含むWebLogicドメインです。
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME
/bin/startManagedWeblogic.shoam_server1
OAAM管理サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME
/bin/startManagedWeblogic.sh oaam_admin_server1
Oracle Adaptive Access Managerランタイム・サーバーをホストしている管理対象サーバーを起動します。
OAAM_DOMAIN_HOME
/bin/startManagedWeblogic.shoaam_server_server1
管理サーバーおよび管理対象サーバーの起動の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のスタックの起動に関する項を参照してください。
注意: インストール後にOAAMユーザーおよびOAAMグループをすでに作成してある場合は、この手順をスキップしてください。 |
Oracle Adaptive Access ManagerとAccess Managerを統合する前に、OAAM管理コンソールが保護されているかどうかを考慮する必要があります。OAAM管理コンソールにアクセスするには、管理ユーザーを作成する必要があります。
OAAM管理コンソールを保護する場合は、idmConfigTool
を使用して外部LDAPストアでユーザーおよびグループを作成する必要があります。詳細は、第D.4.2.3項「prepareIDStore mode=OAAM」を参照してください
または
OAAM管理コンソールを保護しない場合は、WebLogic管理コンソールを使用して管理ユーザーを作成します。
OAAM管理コンソールの保護を無効にするには、第C.6.5項「OAAM管理コンソールの保護の無効化」を参照してください。
WebLogic管理コンソールを使用して管理ユーザーを作成し、そのユーザーをOAAMグループに関連付ける手順を次に示します。
idmConfigTool
を使用して外部LDAPストアでグループを作成します。詳細は、第D.4.2.3項「prepareIDStore mode=OAAM」を参照してください
WebLogicドメインのOracle WebLogic管理コンソールにログインします。
左側のペインの「ドメイン構造」で、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルムを選択します(たとえば、myrealm
)。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
名前: oaam_admin_username
説明: オプション
プロバイダ: DefaultAuthenticator
パスワード: 管理者のパスワードを入力します
確認: 管理者のパスワードを再入力します
重要: ユーザー名にはタブや、セミコロン、カンマ、プラス記号、等号およびシングル・バックスラッシュ文字などの文字を使用しないでください。また、ポンド記号や二重引用符を先頭にすることも避けてください。無効な文字を使用してユーザーを作成すると、WebLogicドメインが破損する可能性があります。
「OK」をクリックして、変更を保存します。
user1が「ユーザー」表に表示されます。
「ユーザー」表で、新規作成したユーザーのuser1
を選択します。
「ユーザー名の設定」ページで、「グループ」タブをクリックします。
ユーザーuser1
に対するOAAM
キーワードを使用して、「使用可能」リスト・ボックスからグループ(複数も可)を選択します。
グループにuser1を追加するには、右矢印をクリックして、選択内容を「選択済み」リスト・ボックスに移動します。
ユーザーをグループに関連付ける前に、外部LDAPストアでOAAMグループを設定する必要があります。そうしないと使用可能になりません。
「保存」をクリックします。
ユーザーの作成およびそのグループへの割当ての詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。
注意: インストール後にOAAMスナップショットをすでにインポートしてある場合は、この手順をスキップしてください。 |
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、Oracle Adaptive Access Managerの最小構成で必要となります。次の手順に従ってスナップショットをシステムにインポートします。
新たに作成したユーザーでOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
右上隅にある「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」画面が表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
「ファイルの選択」ボタンをクリックします。
これで、スナップショットをロードできるようになりました。ダイアログの「参照」ボタンをクリックして、ロードするスナップショットのファイル名を入力します。画面が表示されたら、スナップショット・ファイルが配置されているディレクトリに移動します。「開く」をクリックします。続いて、「ロード」ボタンをクリックして、スナップショットをシステムにロードします。
スナップショット・ファイルoaam_base_snapshot.zip
は、OAAMベース・コンテンツが含まれているOracle_IDM1/oaam/init
ディレクトリにあります。
「OK」をクリックします。
スナップショットをメモリーにロードしましたが、スナップショット内のアイテムはまだ有効になっていません。「リストア」ボタンをクリックするまで、スナップショット内のアイテムは適用されません。
スナップショットを適用するには、「リストア」をクリックします。
スナップショットを適用したら、そのスナップショットが「システム・スナップショット」ページに表示されることを確認します。
操作を正しく行うには、Oracle Adaptive Access Managerに付属のデフォルトのベース・ポリシーとチャレンジ質問がシステムにインポートされていることを確認します。Oracle Adaptive Access Manager環境でポリシーとチャレンジ質問が正常に使用できない場合、動作しないURLが表示されることがあります。
OAAMポリシーの検索の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のポリシーの検索に関する項を参照してください。
チャレンジ質問の検索の詳細は、『Oracle Adaptive Access Managerの管理』のチャレンジ質問の検索に関する項を参照してください。
Oracle Adaptive Access Managerに付属する基本ポリシーおよびデフォルトの質問zipファイルの場所の詳細は、『Oracle Adaptive Access Managerの管理』のOAAMスナップショットのインポートに関する項を参照してください。
「Oracle Access Managementへようこそ」ページにアクセスして、Access Managerが正しく設定されていることを確認します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ログインのため、OAMサーバーにリダイレクトされます。
WebLogicの管理ユーザー名とパスワードを入力します。
ログインに成功すると、「Oracle Access Managementへようこそ」ページが表示されます。
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。
OAAMサーバーにログインします。
http://host:port/oaam_server
ユーザー名を指定し、「続行」をクリックします。
Access ManagerとOracle Adaptive Access Managerの統合がまだ実行されていないため、パスワードとしてtest
と入力します。このパスワードは、統合後すぐに変更する必要があります。
登録を完了します。
ログインに成功すれば、初期構成が正しく行われたことになります。
注意: テスト・ログインURL/oaam_server は、Access Managerの統合に進む前に、OAAM構成が動作していることを検証するため使用されます。このURLは、Access ManagerとOAAMの統合後の使用を意図したものではありません。詳細は、第C.8.2.5項「OAAMのテスト・ログインURL/Access ManagerとOracle Adaptive Access Managerの統合後のoaam_serverでの障害」を参照してください。 |
Webゲート・エージェントを、エージェントとOAMサーバー間で必要な信頼メカニズムを設定するためにAccess Manager 11gに登録します。登録後のエージェントは、OAMサーバーとそのサービスとの間の通信と協調して、HTTP/HTTPSリクエストのフィルタとして機能します。エージェントは、Access Managerによって保護されたリソースへのリクエストを捕捉して、Access Managerと連動することでアクセス要件を実現します。
Access ManagerとともにWebゲートをインストールする前に、Oracle Technology NetworkからOracle Fusion Middlewareでサポートされているシステム構成を確認して、デプロイメントに使用する10gまたは11g Webゲートの証明書情報を検索します。この項では、11g WebゲートのAccess Manager 11gへの登録について説明します。Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Access Management管理者ガイド』の10g WebゲートのAccess Manager 11gへの登録および管理に関する項を参照してください。
WebゲートをAccess Managerに登録するには、依存関係を含む次の必須コンポーネントがインストールおよび構成されていることを確認します。
Oracle HTTP Server用のWebLogic Server。
Oracle Web Tierインストーラを使用してOracle HTTP Serverがインストールおよび構成されていること。OHS_Home
の場所の例を次に示します。
MW_Home/Oracle_WT1
Oracle HTTP Serverは、Oracle WebLogic Serverのリスナー機能を実現し、静的ページ、動的ページおよびWeb上のアプリケーションのホスティングのフレームワークを提供します。
Oracle HTTP Server 11gのインストールおよび構成については、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。
Oracle HTTP Server WebGate for Access Managerがインストールされていること。WebGate_Home
の場所の例を次に示します。
MW_Home/Oracle_OAMWebGate1
Oracle HTTP Server Webゲートのインストール・パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアに含まれています。Oracle Technology Network (OTN)からOracle HTTP Server Webゲート・ソフトウェアをダウンロードできます。
http://www.oracle.com/technetwork/index.html
Oracle HTTP Server Webゲートのインストールの詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールおよび構成に関する項を参照してください。
Windows 2003またはWindows 2008 64ビット・オペレーティング・システムを使用している場合、Oracle HTTP Server 11g WebGate for Access ManagerをホストしているマシンにMicrosoft Visual C++ 2005ライブラリをインストールする必要があります。これらのライブラリはWebゲートに必要です。
Java runtime environment (JRE) 1.6以上がインストールされていること。
Oracle HTTP Server 11g WebGate for Access Managerをインストールした後、Oracle HTTP Serverと同じインスタンス・ホームを持つWebゲートのインスタンスを作成し、Oracle HTTP Server構成ファイルをWebゲート構成で更新する必要があります。詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のOracle HTTP Server 11g Webゲートのインストール後の手順に関する項を参照してください。
Oracle HTTP Server 11g Webゲートのインストール後の手順に関する項の指示に従って、次の手順を実行します。
Webゲート・インスタンスを作成し、WebGate_Home
ディレクトリからWebゲート・インスタンスの場所にエージェント構成ファイルをコピーします。
WebGate_Home
は、次の例のように、Oracle HTTP Server Webゲートをインストールし、WebゲートのOracleホームとして定義されているディレクトリです。
MW_HOME/Oracle_OAMWebGate1
Webゲート・インスタンス・ホームは、次の例のように、Oracle HTTP Serverのインスタンス・ホームである必要があります。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
httpd.conf
をWebゲート構成で更新します。
WebゲートをパートナとしてAccess Manager 11gに登録するには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementを使用して、新しいWebゲート・エージェントをAccess Managerに登録します。詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
ツール・バーの「編集」ボタンをクリックして、構成ページを表示します。
アクセス・クライアント・パスワードを設定し、「適用」をクリックします。確認メッセージのアーティファクトの場所をメモします。
アクセス・クライアント・パスワードは、エージェントの一意のパスワードです。エージェントがOAMサーバーに接続する場合、サーバーに対して自身を認証するときにこのパスワードを使用します。これによって、認可されていないエージェントが接続してポリシー情報を取得するのを防ぎます。
アーティファクトの場所で、ObAccessClient.xml
構成ファイルおよびcwallet.sso
を見つけて次のディレクトリにコピーします。
OHS_Home/instances/instance/config/OHS/component/webgate/config
パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。パートナ・アプリケーションとしてAccess Managerに登録された後、OAAMはTrusted Authentication Protocol (TAP)を使用してAccess Managerと通信し、ユーザー認証をAccess Managerによって検証できます。これによってAccess Managerは必要なcookieを作成して、通常のシングル・サインオン・フローを続行する中で、ユーザーを保護されたリソースにリダイレクトします。
OAAMサーバーを信頼できるパートナとして登録するには、次の手順に従います。
OAM管理サーバーが実行されていることを確認します。
次のコマンドを実行して、OAAMキーストアが含まれるkeystore
ディレクトリを作成します。
mkdir IAM_ORACLE_HOME/TAP/TapKeyStore
Oracle WebLogic Scripting Tool (WLST)の環境を設定します。
次を入力して、IAM_ORACLE_HOME
/common/bin
ディレクトリに移動します。
cd IAM_ORACLE_HOME/common/bin
次のコマンドを実行して、WLSTシェル環境に入ります。
./wlst.sh
Connect
と入力し、WebLogic管理サーバーに接続します。
ユーザー名を入力します。たとえば、admin_username
などです。
パスワードを入力します。たとえば、admin_password
などです。
t3://
hostname
:port
を入力します。
次に例を示します。
t3://AdminHostname:7001
WLSTシェルを使用して、registerThirdPartyTAPPartner
コマンドを実行します。
registerThirdPartyTAPPartner(partnerName = "partnerName", keystoreLocation= "path to keystore", password="keystore password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://OAAM_ Managed_server_host:14300/oaam_server/oamLoginPage.jsp")
表C-6 TAPパートナの登録パラメータ
パラメータ | 説明 |
---|---|
partnerName |
パートナの名前は一意である必要があります。これは、サード・パーティ・パートナの識別に使用する任意の名前にできます。Access Managerにパートナが存在する場合は、その構成が上書きされます。 |
keystoreLocation |
キーストアの場所は既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。キーストア・ファイル名を含む完全なパスを指定する必要があります。前に示した例では、キーストアの場所は "C:\\oam-oaam\\tap\\tapkeystore\\mykeystore.jks" |
password |
キーストアの暗号化に使用するキーストア・パスワード。キーストアは、パラメータ |
tapTokenVersion |
Trusted Authentication Protocolのバージョン |
tapScheme |
Trusted Authentication Protocol認証スキーム(すぐに使用できるTAPScheme)。これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Managementコンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順で |
tapRedirectUrl |
サード・パーティのアクセスURL。TAPリダイレクトURLはアクセス可能である必要があります。アクセスできない場合、パートナの登録は失敗し、 http://oaamserver_host:oaamserver_port/oaam_server/oamLoginPage.jsp OAAMサーバーが実行されていることを確認してください。実行されていない場合、登録は失敗します。資格証明コレクタのページは、OAAMサーバーによって提供されます。 |
Access Managerをインストールすると、IAMSuiteAgent (WebLogicのセキュリティ・プロバイダと対応するAccess Managerの10g Webゲート・プロファイル)が作成されます。デフォルトではパスワードが設定されていません。TAPを使用したOAAMとAccess Managerの統合で、OAAMがAccess Managerに接続すると、IAMSuiteAgentプロファイル(OAAMでのTAP統合の設定中にOAAM CLIを使用して構成済)が使用され、その接続でエージェント・パスワードが要求されます。
IAMSuiteAgentプロファイルのエージェント・パスワードをAccess Managerで設定する必要があります。このパスワードは様々な場所で使用されるため、これはAccess ManagerおよびOracle Adaptive Access Managerの統合に必要な手順です。パスワードを設定するには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「エージェント」セクションの「エージェント」をクリックします。
「Webゲート」タブがアクティブの「SSOエージェントの検索」ページが開きます。
表示される「SSOエージェントの検索」ページで、検索するエージェントの名前として「IAMSuiteAgent」と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「IAMSuiteAgent」を選択してから「編集」をクリックします。
IAMSuiteAgentの「Webゲート」ページで、「アクセス・クライアント・パスワード」フィールドでパスワードを指定し、「適用」をクリックして変更を保存します。
IAMSuiteAgentはWebLogic Server上に直接実装され、IDMドメイン・コンソールに対して(Access ManagerのIAMSuiteAgent Webゲート・プロファイルを使用して)シングル・サインオンを提供するために事前構成済です
WebLogicのIAMSuiteAgentプロバイダが無効化/削除されてなく、Access ManagerのIAMSuiteAgentプロファイルがOpenモードで動作中の場合、第C.4.10項「 IAMSuiteAgentプロファイルへのエージェント・パスワードの追加」の手順の完了後、IDMドメイン・コンソールに対してIAMSuiteAgentを引き続き使用する場合はWebLogicのIAMSuiteAgentプロバイダ構成をパスワードで更新する必要があります。
注意: これでIAMSuiteAgentがパスワード認証付きで「オープン・モード」に表示されます。
ドメイン・エージェント定義を更新するには、次の手順を実行します。
WebLogic管理コンソールにログインします。
http:oam_adminserver_host:port/console
「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
認証プロバイダのリストからIAMSuiteAgentを選択します。
「プロバイダ固有」をクリックします。
エージェント・パスワードを入力し、そのパスワードを確認します。
これは必須の手順です。
「保存」をクリックします。
左上角の「変更のアクティブ化」をクリックします。
WebLogic管理サーバー、OAAMの管理サーバーと管理対象サーバー、およびOAMサーバーを再起動します。
TAPパートナ登録を検証するには、次の手順に従います。
Access Managerの構成を検証するには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
TAPSchemeの「認証スキーム」ページで、「チャレンジ・メソッド」がDAP
で、「認証モジュール」がDAP
であることを確認します。
DAPチャレンジ・メソッドの詳細は、『Oracle Access Management管理者ガイド』のチャレンジ・メソッドに関する項を参照してください。
たとえば、tapRedirectUrlがhttp://
OAAM_Managed_server_host
:14300/oaam_server/oamLoginPage.jsp
の場合、チャレンジURLが次のように設定されることを確認します。
/oaam_server/oamLoginPage.jsp
チャレンジURLは、OAAMがパートナ・アプリケーションとしてAccess Managerに登録されたときに指定されたtapRedirectUrl
を表示します。URLのホストおよびポート番号部分は、チャレンジ・パラメータでパラメータ化されます。
パラメータTAPPartnerId=OAAMTAPPartner
およびSERVER_HOST_ALIAS=OAMSERVER
は、チャレンジ・パラメータとしてすでにリストされている必要があります。
サーバー・ホスト別名は、registerThirdPartyPartner
WLSTコマンドで、指定されたOAAMサーバーのホスト名およびポートについて生成された論理ホスト名です。物理ホスト名およびポートは、次の場所の$DOMAIN_HOME/config/fmwconfig/oam-config.xml
に保存されています
/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/HostAlias/HOST_ALIAS_<NUMBER> path
チャレンジ・パラメータが正しく設定されていることを確認します。
認証スキームの要素の詳細は、『Oracle Access Management管理者ガイド』の認証スキームおよびページに関する項を参照してください。
MatchLDAPAttribute
チャレンジ・パラメータを追加し、これをLDAPアイデンティティ・ストアで指定されたUser Name Attribute
に設定する必要があります。
「認証スキーム」ページで、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、チャレンジ・パラメータのエントリを追加します。
たとえば、MatchLDAPAttribute=uid
などです。
MatchLDAPAttribute
を、LDAPアイデンティティ・ストアで指定されたUser Name Attribute
に設定する必要があります。たとえば、uid
、mail
、cn
などとなります。
注意: 「チャレンジ・パラメータ」では大/小文字を区別します。 |
詳細は、『Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項を参照してください。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
IAMSuiteAgentプロファイルをAccess Managerでテストするには、次の手順を実行します。
OAMサーバーをホストしている管理対象サーバーを再起動します。
OAMサーバーをホストしている管理対象サーバーを停止します。
OAM_DOMAIN_HOME/bin/stopManagedWeblogic.sh oam_server1
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_DOMAIN_HOME/bin/startManagedWeblogic.sh oam_server1
環境にJAVA_HOME
が設定されていることを確認します。
PATH
にJAVA_HOME/bin
を追加します。たとえば、次のように指定します。
export PATH=$JAVA_HOME/bin:$PATH
ディレクトリを次に変更:
IAM_ORACLE_HOME/oam/server/tester
Oracle Access Managementテスターを起動します。
java -jar oamtest.jar
Oracle Access Managementテスター・コンソールが表示されます。
「サーバー接続」セクションで、次のようにサーバー接続の詳細を指定します。
IPアドレス: Access Manager管理対象サーバーのホスト
ポート: Oracle Access Management Oracle Access Protocol (OAP)ポート
エージェントID: IAMSuiteAgent
エージェント・パスワード: 第C.4.10項「IAMSuiteAgentプロファイルへのエージェント・パスワードの追加」で指定したPassword
。
「サーバー接続」セクションには、OAMサーバーへの接続の確立に必要な情報についてのフィールドが示されます。
「接続」をクリックします。
サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。
「保護されたリソースのURI」セクションには、保護状態を検証する必要のあるリソースに関する情報が表示されます。
このセクションでは、次のように保護されたリソースのURIを指定します。
ホスト: IAMSuiteAgent
ポート: 80
リソース: /oamTAPAuthenticate
注意: oamTAPAuthenticate ではなくTAPScheme を使用して保護されているその他の任意のリソースをテストできます。 |
「検証」をクリックします。
リソース検証サーバー・リクエストを送信するには、「検証」ボタンを使用します。検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。
「ユーザー・アイデンティティ」セクションで、User Identity
を指定し、「認証」をクリックします。認証に成功した場合は、設定が正常に行われています。
Oracle Access Managementテスターの詳細は、『Oracle Access Management管理者ガイド』のアクセス・テスターを使用した接続およびポリシーの検証に関する項を参照してください。
TAPを使用したOAAMとAccess Managerの統合で、OAAMがAccess Managerに接続すると、IAMSuiteAgentプロファイル(OAAMでのTAP統合の設定中に構成済)が使用されます。
setupOAMTapIntegration.sh
を実行してTAP統合用にAccess Managerを構成するには、次の手順を実行します。
注意: OAAMコマンド行スクリプトの実行に失敗する場合、次のようにスクリプトを実行します。
bash script_name
|
OAAM管理対象サーバーが実行されていることを確認します。
OAAM cli
フォルダを一時ディレクトリにコピーします。
cp -r OAAM_HOME/oaam/cli /temp/oaam_cli
temp/oaam_cli/conf/bharosa_properties
にあるoaam_cli.properties
を開きます。
テキスト・エディタを使用して、表C-7に示されているとおりにプロパティを設定します。
表C-7 OAAM CLIのプロパティ
パラメータ | 詳細 |
---|---|
oaam.adminserver.hostname |
これは、OAAMがインストールされているWebLogic Serverドメインの管理サーバー・ホストです。 |
oaam.adminserver.port |
これは、OAAMがインストールされているWebLogicサーバー・ドメインの管理サーバー・ポートです。 |
oaam.db.url |
これは、次の形式で示されるOAAMデータベースの有効なJDBCのURLです。 jdbc:oracle:thin:@db_host:db_port:db_sid |
oaam.uio.oam.tap.keystoreFile |
これは、 パラメータ Windowsでは、ファイル・パスの値をエスケープする必要があります。次に例を示します。 C:\\oam-oaam\\tap\\keystore\\store.jks |
oaam.uio.oam.tap.partnername |
これは、WLST |
oaam.uio.oam.host |
これは、Access Managerプライマリ・ホストです。 |
oaam.uio.oam.port |
これは、Access ManagerのプライマリOracle Access Protocol (OAP)ポートです。これは、OAMサーバー・ポートです(デフォルト・ポート番号5575)。 |
oaam.uio.oam.webgate_id |
これは、 |
oaam.uio.oam.secondary.host |
セカンダリOAMサーバー・ホスト・マシンの名前です。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ホスト名を指定できます。 |
oaam.uio.oam.secondary.host.port |
これは、Access ManagerのセカンダリOAPポートです。このプロパティは高可用性のために使用されます。このプロパティを使用してフェイルオーバー・ポートを指定できます。 |
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、 |
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks
これは、セキュリティ・モードが |
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks.
秘密鍵は、Access ManagerおよびOAAMを簡易モードおよび証明書モードで設定した場合にのみ必要となります。 |
oaam.csf.useMBeans |
複数のドメインに対するインストールでは、 |
変更を保存してエディタを終了します。
ミドルウェアおよびJavaホーム環境変数を設定します。
bashの場合:
export ORACLE_MW_HOME=Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed export JAVA_HOME=Location_of_JDK_used_for_the_WebLogic_installation
または
cshの場合:
setenv ORACLE_MW_HOME Location_of_WebLogic_installation_where_Oracle_Adaptive_ Access_Manager_is_installed setenv JAVA_HOME Location_of_JDK_used_for_the_WebLogic_installation
ディレクトリをtemp/oaam_cli/
に変更します。
次のコマンドを使用して、OAAM統合設定スクリプトを実行します。
./setupOAMTapIntegration.sh conf/bharosa_properties/oaam_cli.properties
このスクリプトは、OAAMで統合に必要なプロパティを設定します。
コマンドが実行されると、次の情報の入力を求められます。
Weblogic Serverホーム・ディレクトリ: 通常は$ORACLE_MW_HOME/wlserver_10.3
です
OAAM管理サーバー・ユーザー名: これは、WebLogic Serverドメインの管理サーバー・ユーザー名(WebLogic管理ユーザー名)です。
OAAM管理サーバー・パスワード: これは、管理サーバー・ユーザーのパスワード(WebLogic管理パスワード)です。
OAAMデータベース・ユーザー名: OAAMデータベース・ユーザーです。
OAAMデータベース・パスワード: OAAMデータベース・ユーザーのパスワード。
CSFに格納されるAccess Manager Webゲートの資格証明: Webゲートのパスワードを入力します。
Access Manager TAPキーストア・ファイル・パスワード: TAPパートナを登録した際に割り当てられたパスワードです。詳細は、「OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録」を参照してください。
注意: setupOAMTAPIntegration の実行中にWebLogic管理ユーザー名およびパスワードを入力する必要があります。OAAM管理ユーザー名とパスワードを提供した場合、このスクリプトの実行に必要な権限がOAAM管理ユーザーに付与されていないことが原因で、スクリプトは失敗します。 |
簡易モードまたは証明書モードでAccess ManagerとOracle Adaptive Access Managerとの統合を設定すると、次のように追加入力を行う必要があります。
Access Manager秘密鍵証明書キーストア・ファイルのパスワード: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphrase
の実行により取得できます。
Oracle Access Managementグローバル・パスフレーズ: 簡易モード・パスフレーズです。これは、WLSTコマンドdisplaySimpleModeGlobalPassphrase
の実行により取得できます。
詳細は、『Oracle Access Management管理者ガイド』の簡易モードのグローバル・パスフレーズの取得に関する項を参照してください。
注意: この項の手順は、IAMSuiteAgentアプリケーション・ドメインでTAPscheme を使用する場合にのみ実行する必要があります。 |
TAPscheme
によってIAMスイート・ドメインでIdentity Managementリソースを保護する場合は、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートをクリックしてから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックします。
「Protected HigherLevel Policy」をクリックして、その構成を表示します。
「リソース」タブで、「リソース」表の「/oamTAPAuthenticate」をクリックします。
表で「削除」ボタンをクリックします。
「適用」をクリックして変更を送信し、確認ウィンドウを閉じます。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックし、次に「作成」ボタンをクリックして、「認証ポリシーの作成」ページを開きます。
「名前」フィールドに、一意の名前を入力します。
認証スキームに、LDAPSchemeを選択します。
「リソース」タブをクリックします。
「リソース」タブで「追加」ボタンをクリックします。
「検索」ボタンをクリックします。
結果表で「/oamTAPAuthenticate」をクリックします。
「選択済の追加」をクリックします。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
Access ManagerがリソースURLをOAAMに渡す前にオーバーライドできるようにするには、TAPScheme
でTAPOverrideResource
チャレンジ・パラメータを設定する必要があります。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
「認証スキーム」ページで、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、TAPScheme
のチャレンジ・パラメータにTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
を追加します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
OAAM TAPScheme
でリソースを保護するには、次の手順を実行します。
保護する新しいリソースを作成するには、次の手順を実行します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートを選択してから「編集」をクリックします。
IAMスイート・アプリケーション・ドメインで、「リソース」タブをクリックしてから、検索結果ツールバーで「作成」をクリックします。
リソース定義ページで、次の情報を追加します。
タイプ: http
。HTTPタイプがデフォルトです。HTTPまたはHTTPSプロトコルを使用してアクセスするリソースを扱います。特定のリソースを制御するポリシーがすべての操作に適用されます。
説明: このリソースのオプションの一意の説明。
ホスト識別子: IAMSuiteAgent
リソースURL: 「/」文字で区切られた一連の階層レベルで構成される完全なURLのパス・コンポーネントを表す単一の相対URLとして、URL値を表現する必要があります。リソースのURL値は/で始まり、選択されたホスト識別子のリソース値と一致する必要があります。
たとえば、/higherriskresource
などです
保護レベル: Protected
「適用」をクリックして、このリソースをアプリケーション・ドメインに追加します。
リソースの作成の詳細は、『Oracle Access Management管理者ガイド』のポリシー・リソース定義の追加および管理に関する項を参照してください。
TAPScheme
認証を使用してリソースを保護する新しい認証ポリシーを作成するには、次の手順を実行します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートを選択してから「編集」をクリックします。
IAMスイート・アプリケーション・ドメイン・ページで、「認証ポリシー」タブをクリックし、次に「作成」ボタンをクリックして、「認証ポリシーの作成」ページを開きます。
「認証ポリシーの作成」ページで、作成しているポリシーに必要な要素を追加します。
「名前」: 識別子として使用される一意の名前。たとえば、HighPolicy
です。
説明(オプション): 認証ポリシーを説明するオプションの一意のテキスト。
認証スキーム: TAPScheme
成功URL: 認証の成功時に使用されるリダイレクトURL。
「失敗URL」: 認証の失敗時に使用されるリダイレクトURL。
同じページで、作成したリソースを追加します。
「リソース」タブをクリックします。
「リソース」タブで「追加」ボタンをクリックします。
「検索」ボタンをクリックして、すべての使用可能なリソースを表示します。
リストの中からリソースのURLを選択します。たとえば、/higherriskresource
などです。
リストされているURLは、以前にアプリケーション・ドメインに追加されました。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。
「選択済の追加」をクリックします。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
「認証ポリシーの作成」ページで、「レスポンス」タブをクリックしてレスポンスを追加します。
レスポンスは、Webエージェントで実行される必須処理(認証後のアクション)です。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティティをアサートできます。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。
レスポンスの詳細は、『Oracle Access Management管理者ガイド』のSSOのポリシー・レスポンスの追加および管理に関する項を参照してください。
終了する際はページを閉じます。
特定のリソースに対する認証ポリシーの作成の詳細は、『Oracle Access Management管理者ガイド』の特定のリソースに対する認証ポリシーの定義に関する項を参照してください。
保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。
この項では、TAPを使用してOracle Adaptive Access Managerと統合されているAccess Managerがある環境で、トンネリングによってデタッチされた資格証明コレクタ(DCC)のWebゲートを設定する手順を説明します。
資格証明コレクションの詳細は、『Oracle Access Management管理者ガイド』の資格証明コレクションとログインの理解に関する項を参照してください。
Oracle Adaptive Access ManagerをAccess Managerとともに構成する前に、依存関係を含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。前提条件については、第C.4.2項「OAAMとAccess Managerとの拡張統合の前提条件」を参照してください。
表C-8は、DCC Webゲートを含むTAPを使用したOracle Adaptive Access ManagerとAccess Managerとの統合のための高レベルのタスクのリストです。
表C-8 DCCを含むTAPを使用したAccess ManagerとOracle Adaptive Access Managerの統合
番号 | タスク | 情報 |
---|---|---|
1 |
TAP統合を使用してAccess ManagerをOAAMと統合します。 |
詳細は、「TAP統合を使用したAccess ManagerのOAAMとの統合」を参照してください。 |
2 |
DCC Webゲートを設定してトンネリングを有効化します。 |
詳細は、「DCC Webゲートの設定とトンネリングの有効化」を参照してください。 |
3 |
DCC Webゲートのアプリケーション・ドメインで |
詳細は、「DCC Webゲートのアプリケーション・ドメインでのリソースの構成」を参照してください。 |
4 |
TAP認証スキームを編集して、DCC Webゲートを使用します。 |
詳細は、「DCC Webゲートを使用するためのTAP認証スキームの編集」を参照してください。 |
5 |
DCC Webゲートを使用するために認証スキームを構成します。この手順は、ステップアップ認証を設定する場合に実行されます。 |
詳細は、「DCC Webゲートを使用するための認証スキームの構成(オプション)」を参照してください。 |
TAP統合を使用してAccess ManagerをOAAMと統合する場合は、第C.4項「OAAMとAccess Managerとの拡張統合」の手順に従ってください。
WebゲートをDCC Webゲートとして構成して、DCCおよびトンネリングを有効化する手順:
Oracle HTTP Server Webゲートをインストールします。
Oracle HTTP Server Webゲートのインストール・パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアに含まれています。Oracle Technology Network (OTN)からOracle HTTP Server Webゲート・ソフトウェアをダウンロードできます。
http://www.oracle.com/technetwork/index.html
Oracle HTTP Server Webゲートのインストールの詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOracle HTTP Server 11g Webゲートのインストールに関する項を参照してください。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Access Managerに新しいWebゲートを登録します。詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
「アプリケーション・セキュリティ」コンソールで、「エージェント」セクションの「エージェント」をクリックして、DCCとして動作する11.1.2 Webゲートの登録ページを検索して開きます。
デタッチされた資格証明コレクションとこのWebゲート上のトンネリングを次のように有効化します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
DCCのための11g Webゲートの構成の詳細は、『Oracle Access Management管理者ガイド』のDCC資格証明操作の有効化に関する項を参照してください。
DCC Webゲートで/oam
リソースを構成するには、次の手順を実行します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、DCC Webゲートに関連するアプリケーション・ドメインの名前を入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でアプリケーション・ドメインを選択してから「編集」をクリックします。
「アプリケーション・ドメイン」ページで、「リソース」タブをクリックします。
認証ポリシーをパブリック・リソース・ポリシー、および認可ポリシーをパブリック・リソース・ポリシーとして設定することで、リソース/oam/**
をパブリック・リソースとして構成します。
/oam/**
を非保護に設定します。
/favicon.ico
を除外リソースとして設定します。
TAP認証スキームを次のように編集します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
「チャレンジ・リダイレクトURL」フィールドで、次のように入力します。
http://DCC_WG_host:DCC_WG_port/oam/server/
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
ステップアップ認証を設定する場合は、LDAPスキームを次のように作成します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「作成」をクリックします。
「認証スキームの作成」ページに次の情報を入力します。
名前: DCC認証スキーム
認証レベル: 2
チャレンジ・メソッド: FORM
チャレンジ・リダイレクトURL:
http://DCC_WG_host:DCC_WG_port/oam/server/
認証モジュール: LDAPPlugin
チャレンジURL: /pages/login.jsp
コンテキスト・タイプ: デフォルト
コンテキスト値: /oam
チャレンジ・パラメータ:
OverrideRetryLimit=0
「適用」をクリックして新しいスキームを送信します。
確認ウィンドウを閉じます。
この項では、デプロイメントに応じて必要となる可能性のあるその他の構成手順について説明します。
TAPScheme
スキームの認証レベルを変更するには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
認証レベルを変更します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
簡易モードでOracle Adaptive Access ManagerとAccess Managerとの統合を設定するには、次の手順に従います。
OAMサーバーとクライアント(Webゲート)間の通信を保護するということは、コンポーネント登録ページ内のOAPチャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。トランスポート・セキュリティ通信モードはAccess Managerのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。
簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、Access Manager 11gサーバーおよびWebゲートはOracle CAにより発行および署名された同じ証明書を使用します。
簡易モード通信用のAccess Managerの構成については、『Oracle Access Management管理者ガイド』を参照してください。
第C.4.13項「OAAMでのAccess Manager TAP統合プロパティの設定」の手順に従ってください。oaam_cli.propertiesファイルを編集する場合は、表C-7に示したプロパティに加え、次のプロパティを設定します。
表C-10 セキュリティ・モードのプロパティ
パラメータ | 詳細 |
---|---|
oaam.uio.oam.security.mode |
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。値は、1(オープン)、2(簡易)、または3(証明書)となります。指定されていない場合、デフォルトは1(オープン)です。 |
oam.uio.oam.rootcertificate.keystore.filepath |
ルート証明書用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-truststore.jks
これは、セキュリティ・モードが2(簡易)および3(証明書)の場合にのみ必要です。 |
oam.uio.oam.privatekeycertificate.keystore.filepath |
秘密鍵用に生成されたキーストア・ファイルの場所。
DOMAIN_HOME/output/webgate-ssl/oamclient-keystore.jks
これは、セキュリティ・モードが2(簡易)および3(証明書)の場合に必要です。 |
アイデンティティ・コンテキストにより、組織は、Oracle Access Managementプラットフォームに組み込まれているコンテキストを意識したポリシー管理および認可機能を活用することで、増大するセキュリティの脅威に対応できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールやグループなど)とともに、認証および認可中に確立される動的データ(認証強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
Access ManagerとOAAMとのTAP統合でアイデンティティ・コンテキスト・クレームを使用するには、次の手順に従います。
Domain_Home
/config/fmw-config/oam-config.xml
で、TAPパートナ名を持つ設定を検索します。Access Managerに対してTAPパートナを登録するときにTAPパートナ名を指定している場合があります。たとえば、OAAMPartner
です。OAAMパートナのTapTokenVersion
をv2.0
からv2.1
に変更します。
OAAM管理コンソールからプロパティを追加または編集することにより、OAAM側のバージョン設定をv2.0
からv2.1
に変更します。次のようにします。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.dap_token.version
という名前を持つプロパティを検索し、その値をv2.1
に変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.dap_token.version
で、値がv2.1
である新しいプロパティを追加します。
「保存」をクリックします。
Access ManagementポリシーのTAPスキームで、TAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
というチャレンジ・パラメータを追加します。それを実行する手順は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
「認証スキーム」ページで、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、TAPScheme
のチャレンジ・パラメータにTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
を追加します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
Access ManagerとOracle Adaptive Access Managerの統合フローには、認証の実行に必要な情報の転送、Access Managerコンテキスト情報の保存、TAPトークンの提供などがあります。
この統合フローの間、Access ManagerはコンテキストをCookieとして保存できます。このコンテキストが大きい(フォーム・データなど)場合、Access ManagerはPOSTデータを介してそのコンテキスト情報をOracle Adaptive Access Managerに送信し、Oracle Adaptive Access ManagerはHTTP POSTベースのフロント・チャネル・メッセージを経由してこのデータをAccess Managerマネージャに転送できます。Oracle Adaptive Access Manager側でAccess Managerのコンテキストを保存するために使用されているメカニズムは、最低8Kのデータを保存できます。これにより、Access Managerでは再認証のときにエンド・アプリケーションのフォーム・データを保存でき、エンド・ユーザーによる再入力が不要になります。
Oracle Adaptive Access Managerでは、Access Managerへ返送するポストベースの応答を生成して、8K以上のAccess Managerのコンテキスト・データを保存できるように、oaam.uio.oam.dopost
をtrue
に設定する必要があります。
この設定を変更するには、次の手順を実行します。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.dopost
という名前を持つプロパティを検索し、その値をtrue
に変更します。
そのプロパティが存在しない場合、名前がoaam.uio.oam.dopost
で、値がtrue
の新しいプロパティを追加します。
「保存」をクリックします。
保護を提供するIAMSuiteAgentを無効化することによって、OAAM管理コンソールの保護を無効化できます。
このためには、エージェントを無効にする必要があるサーバーに対して、WLSAGENT_DISABLED
システム・プロパティまたは環境変数をtrue
に設定する必要があります。
IAMSuiteAgentの無効化方法については、『Oracle Access Management管理者ガイド』のIAMSuiteAgentの無効化に関する項を参照してください。
ステップアップ認証シナリオを無効にする場合、次のプロパティをfalse
に設定する必要があります。
oaam.uio.oam.integration.stepup.enabled
デフォルトで、このプロパティはtrue
に設定されています。OAAM管理コンソールを使用してプロパティを追加/編集することでOracle Adaptive Access Manager側の設定を変更するには、次に進みます。
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.integration.stepup.enabled
という名前を持つプロパティを検索し、その値をfalse
に設定します。
プロパティが存在しないときに備えて、新しいプロパティを追加します。
false
に設定した場合、ユーザーが下位の保護リソースに対して認証された後により上位の保護リソースにアクセスを試みると、資格証明を求められます。
「保存」をクリックします。
Oracle Adaptive Access Managerでは、パスワードは25文字の制限が採用されています。ユーザーがOAAMサーバーに最初にログインするとき、入力したパスワードが25バイトを超える場合、パスワードが無効というエラーが発生し、ユーザー名のページに戻されてしまいます。
OAAMサーバーに入力するパスワードの文字制限を変更するには、OAAM管理コンソールを使用して次のプロパティを更新する必要があります。
bharosa.authentipad.textpad.datafield.maxLength
OAAM管理コンソールを使用して文字制限を更新する手順は、次のとおりです。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
bharosa.authentipad.textpad.datafield.maxLength
という名前のプロパティを検索し、その値を変更します。
「保存」をクリックします。
TAPスキームを使用してAccess Manager 11gとの統合を構成し、OAAM拡張共有ライブラリを使用してカスタマイズを追加している場合は、プロパティbharosa.uio.proxy.mode.flag
をfalse
に設定する必要があります。
プロパティをtrue
に設定すると、Oracle Adaptive Access ManagerとAccess ManagerのTAPを使用した統合に失敗し、次のメッセージが表示されます。
Sorry, the identification you entered was not recognized.
プロパティがtrue
に設定されている場合は、設定を次のように変更します。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
bharosa.uio.proxy.mode.flag
という名前を持つプロパティを検索し、その値をfalse
に設定します。
そのプロパティが存在しない場合、名前がbharosa.uio.proxy.mode.flag
で、値がfalse
である新しいプロパティを追加します。
「保存」をクリックします。
Oracle Adaptive Access Managerのカスタマイズの詳細は、次を参照してください。
『Oracle Adaptive Access Manager開発者ガイド』のOAAM拡張共有ライブラリを使用したOAAMのカスタマイズに関する項
『Oracle Adaptive Access Manager開発者ガイド』のOAAM Webアプリケーション・ページのカスタマイズに関する項
このシナリオは、ユーザーがTAPSchemeの認証レベルを変更する例を示しています。これらの設定に基づいて、ログインおよびステップアップ認証フローも示しています。
認証レベルを変更するには、次の手順を実行します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
認証レベルの値を増加します。たとえば、値が2
の場合、これを4
に変更します。
TAPScheme
は上位の保護リソースを保護します。
「適用」をクリックして変更を保存します。
「認証スキームの検索」ページで、OAMAdminConsoleSchemeを検索します。
「OAMAdminConsoleScheme」リンクをクリックします。
認証レベル値がTAPScheme
より低いことを確認します。
OAMAdminConsoleScheme
は下位の保護リソースを保護します。
この例では、保護された上位ポリシーからOAAM管理コンソールが削除されます。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
表示される「アプリケーション・ドメインの検索」ページで、「名前」フィールドにIAMスイート
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表でIAMスイートを選択してから「編集」をクリックします。
IAMスイート・アプリケーション・ドメインで、「リソース」タブをクリックしてから、検索結果ツールバーで「作成」をクリックします。
Click the 「認証ポリシー」タブをクリックします。
「Protected HigherLevel Policy」をクリックして、その構成を表示します。
「リソース」タブで、/oaam_admin/**を削除し、「適用」をクリックして変更を適用します。
TAPScheme
を使用して新しいポリシーを作成し、上位の保護リソースとしてOracle Adaptive Access Managerを保護します。
「認証ポリシー」タブをクリックし、次に「作成」ボタンをクリックして、「認証ポリシーの作成」ページを開きます。
「名前」フィールドでポリシー名を指定します。たとえば、TestPolicy
などです。
「認証スキーム」で、「認証スキーム」ドロップダウン・リストから「TAPScheme」を選択します。
リソースを追加します。
「認証ポリシー」ページで「リソース」タブをクリックします。
「リソース」タブで「追加」ボタンをクリックします。
「検索」ボタンをクリックします。
リソースとして「/oaam_admin/**」を選択します。
「選択済の追加」をクリックします。
「適用」をクリックして認証ポリシーを作成します。
これで、上位の保護リソースはTAPScheme
で保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleScheme
で保護されたOracle Access管理コンソールとなります。
ユーザーの作成の詳細は、第C.4.4項「OAAMユーザーおよびOAAMグループの作成」を参照してください。
この項では、ユーザーがその仮想認証デバイスとチャレンジ質問を登録するログイン・フローの例を示します。例は、第C.7.1項「リソース保護シナリオ: TAPSchemeの認証レベルの変更」から第C.7.4項「リソース保護シナリオ: 新規OAAMユーザーの作成」で行われた設定に基づいています。
この例では、上位の保護リソースはTAPScheme
で保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleScheme
で保護されたOracle Access管理コンソールとなります。
ログイン・フローは次のとおりです。
WebブラウザでURLを入力して、保護リソースであるOAAM管理コンソールにアクセスします。
Access Managerユーザー名ページが表示されます。
OAAMサーバーにリダイレクトされます。
図C-1に示すように、Access Managerのユーザー名ページで、ユーザー名を入力し、「続行」をクリックします。
図C-2に示すように、パスワードを入力するためのTextPadによるパスワード・ページが表示されます。パスワードを入力し、「入力」をクリックします。
図C-3に示すように、「登録」ページで、ユーザーのプロファイルの登録を開始するオプションを選択する場合は「続行」をクリックします。
図C-4に示すように、セキュリティ・デバイスの登録ページで、セキュリティ・デバイスを選択して「続行」をクリックします。
セキュリティ質問の登録ページで、チャレンジ質問を登録します。
保護リソースであるOAAM管理コンソールへのアクセスが許可されます。
この項では、第C.7.5項「リソース保護シナリオ: ログイン・フロー」で自分のプロファイルを登録し、上位の保護リソースへのアクセスを許可されたユーザーのステップアップ認証フローの例を示します。この例は、第C.7.1項「リソース保護シナリオ: TAPSchemeの認証レベルの変更」から第C.7.4項「リソース保護シナリオ: 新規OAAMユーザーの作成」で行われた設定に基づいています。
この例では、上位の保護リソースはTAPScheme
で保護されたOAAM管理コンソール、下位の保護リソースはOAMAdminConsoleScheme
で保護されたOracle Access管理コンソールとなります。
ステップアップ認証フローは次のとおりです。
WebブラウザでURLを入力して、下位の保護リソースであるOracle Access Managementコンソールにアクセスします。
ステップアップの例のこの時点では、まだ認証されていません。よりリスクの低いリソースにアクセスすると、ユーザー名とパスワードが同じページに表示されるOracle Access Managementログイン・ページが示されます。
プロファイルを登録したユーザーの資格証明を入力し(第C.7.5項「リソース保護シナリオ: ログイン・フロー」を参照)、「ログイン」をクリックします。
資格証明の提供後、正常に認証されると、下位保護リソースへのアクセスが可能となります。Oracle Access Managementコンソールが表示されます。
WebブラウザでURLを入力して、上位の保護リソースであるOAAM管理コンソールにアクセスします。
すでに認証されているため、OAMサーバーではログイン・ページは表示されません。ただし、Oracle Adaptive Access Managerでは不正検出ポリシーが実行されます。この例では、Oracle Adaptive Access Managerは認証後ルールを実行し、リスク・スコアが低いと判断し、アクション(たとえば、KBAやOTP)を実行したり、ポリシーに指定されている任意のアラートを生成することはありません。図C-8に、下位保護リソースにアクセスしたときにすでに認証されており、認証後ルールによってリスク・スコアが低いと決定されたため、上位保護リソースにログインしているステップアップ認証プロセスを示します。
これで、上位保護リソースであるOAAM管理コンソールにアクセスできます。
この項では、Oracle Adaptive Access ManagerとAccess Managerとの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。一般的な問題のタイプごとにまとめられており、その内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
ここでは、OAAMとAccess Managerとの基本統合に関係する統合問題の解決策を示します。
OAAMとAccess Managerの基本統合では、保護リソースにアクセスすると、OAAMページに転送されます。
原因
Microsoft Internet Explorer 7を使用している場合、ユーザー名を入力して「送信」をクリックすると、パスワード・ページに自動的にリダイレクトされずに、次のページ(/oam/pages/oaam/handleLogin.jsp
)から進まなくなります。
解決策
この問題を解決するには、次の回避策を使用できます。
「続行」リンクをクリックすると、/oam/pages/oaam/handleJump.jsp?clientOffset=-7
が表示されます。
OAAMとAccess Managerとの基本統合フローの間に、エラーが発生します。
原因
OAAMEnabled
値が不適切に構成されます。
解決策
OAAMとAccess Managerとの基本統合が有効化された環境では、oam-config.xml
の下にある次のエントリOAAMEnabled
がtrue
に設定される必要があります。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> </Setting> ...
OAAMとAccess Managerとの基本統合フローでエラーが発生したら、このフラグの値をチェックします。新しいOracle Internet Directoryを作成し、それをOAAMBasic
スキームに関連付けるなど、特定の環境(Windows)またはシナリオでは、元のフローが破損する可能性があります。OAAMとAccess Managerとの基本統合は、OAAMEnabled
フラグがfalse
にリセットされるため、機能しません。
OAAMとAccess Managerとの基本統合では、Access Managerへの登録中に、チャレンジ質問を登録すると、モバイル番号を入力するための連絡先ページに転送されます。
この統合モードでは、OTPがサポートされていないため、このページは重要ではありません。次の形式でモバイル番号を入力して「送信」をクリックすることによって、登録を完了します。
:09900502139
原因
OAAMチャレンジ・ポリシーではなく、OAAMチャレンジSMSポリシーが実行されるように構成されています。
解決策
この問題を解決するには、OAAMチャレンジSMSポリシーをOAAMチャレンジ・ポリシーに置き換えて、OTPへのチャレンジ・フロー・リクエストを回避します。
OAAMチャレンジ・ポリシー
を検索します。
アクション・グループで、見つかったすべてのOAAMチャレンジSMSをOAAMチャレンジに置き換えます。
ポリシーを保存します。
configureOAAM
のWLSTコマンドを使用してデータソースを作成し、それをターゲットとしてOAMサーバーおよびoam-config.xml
ファイルのOAAMEnabled
プロパティに関連付けることができます。構文は次のとおりです。
configureOAAM(dataSourceName,paramNameValueList)
説明:
dataSourceName
は、作成されるデータ・ソースの名前です
paramNameValueList
は、パラメータ名と値のペアからなるカンマ区切りリストです。名前と値の各ペアの形式は次のとおりです。
paramName='paramValue'
必須のパラメータは次のとおりです。
hostName
: データベース・ホストの名前
port
: データベース・ポート
sid
: データベース識別子(データベースSID)
userName
: OAAMスキーマ名
passWord
: OAAMスキーマ・パスワード
オプションのパラメータは次のとおりです。
maxConnectionSize
: 最大接続予約タイムアウト・サイズ
maxPoolSize
: 接続プールの最大サイズ
次に例を示します。
configureOAAM(dataSourceName = "MyOAAMDS", hostName = "host.mycorp.example.com", port = "1521", sid = "sid", userName = "username", passWord = "password", maxConnectionSize = None, maxPoolSize = None, serverName = "oam_server1")
注意: SID = ではサービス名が必要です。 |
この項では、ログインの問題の解決策を提供します。
OAMログイン・ページがトンネリングされると(/oam/**
)、ログインが失敗したときにエラー・メッセージがログイン・ページに表示されません。
原因
DCC Webゲートのアプリケーション・ドメインのリソースが正しく構成されませんでした。
解決策
次のように、DCC Webゲートのアプリケーション・ドメインでプロパティを構成する必要があります。
/oam/**
(無保護リソースとして)
/favicon.ico
(除外リソースとして)
ネイティブ認証フローでASCII以外のユーザー名またはパスワードを使用すると、次のようなメッセージが表示されます。
Sorry, the identification you entered was not recognized. Please try again.
原因
資格証明内に非ASCII文字があります。
解決策
問題を解決するには、次のようにします。
PRE_CLASSPATH
変数を${ORACLE_HOME}/common/lib/nap-api.jar
に設定します。
Cシェルの場合:
setenv ORACLE_HOME "IAMSUITE INSTALL DIR"
setenv PRE_CLASSPATH "${ORACLE_HOME}/common/lib/nap-api.jar"
bash/ksh
シェルの場合:
export ORACLE_HOME=IAMSUITE INSTALL DIR
export PRE_CLASSPATH="${ORACLE_HOME}/common/lib/nap-api.jar"
OAAM_SERVER
に関連する管理対象サーバーを起動します。
Access ManagerとOracle Adaptive Access Managerで正常に認証された後に、登録されたユーザーが登録したものと異なる大文字/小文字の組合せでユーザー名を入力すると、再度プロファイルを登録するように求められます。
原因
ユーザー名では大文字と小文字が区別されます。デフォルトでは、ユーザーが登録されたユーザーとは異なる大文字/小文字の組合せでユーザー名を入力すると、OAAMサーバーはそのユーザーを未登録と見なします。たとえば、ユーザーuserxy
がユーザー名をuserXY
と入力してログインを試みると、プロファイルを再度登録するように求められます。
解決策
OAMサーバーとOAAMサーバーの両方でログインが成功するようにするには、ユーザー名の大/小文字を区別しないようにOAAMサーバーを構成する必要があります。このためには、次のプロパティを設定します。
bharosa.uio.default.username.case.sensitive=false
設定を次のように変更します。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
bharosa.uio.default.username.case.sensitive
という名前を持つプロパティを検索し、その値をfalse
に設定します。
そのプロパティが存在しない場合、名前がbharosa.uio.default.username.case.sensitive
で、値がfalse
である新しいプロパティを追加します。
「保存」をクリックします。
構成でCookieドメインの値が正しくない場合、ログインが失敗することがあります。
正しくWebゲートを操作するには、プロパティoaam.uio.oam.obsso_cookie_domain
がAccess Managerの対応する値に一致するように設定されていることを確認します。
Oracle Access Managementコンソールのエージェント構成ページで、「プライマリCookieドメイン」パラメータには、エージェントがデプロイされる対象のWebサーバー・ドメインが示されます(.example.com
など)。cookieドメインはWebサーバー間でシングル・サインオンを有効にするように構成されました。シングル・サインオンを構成する対象のWebサーバーには、同じプライマリCookieドメインの値が必要です。Webゲートは、ObSSOCookie認証Cookieを作成するためにこのパラメータを使用します。
oaam.uio.oam.obsso_cookie_domain
設定を変更するには、次の手順を実行します。
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.uio.oam.obsso_cookie_domain
という名前を持つプロパティを検索し、その値を「プライマリCookieドメイン」設定と一致するように設定します。
「保存」をクリックします。
テスト・ログインURL /oaam_server
は、TAPスキームを使用してAccess ManagerとOracle Adaptive Access Managerの統合を続行する前に、Oracle Adaptive Access Manager構成が機能していることを確認するために使用されます。このURLは統合後の使用を意図したものではないため、その時点で、ユーザーはOAAMサーバーに直接アクセスできなくなります。ユーザーがこのURLに移動し、ユーザー名を入力すると、パスワードを入力するページに移動されます。パスワードを送信すると、ログインに失敗し、次のエラーが表示されます。
Error Sorry, the identification you entered was not recognized. Please try again
Access Managerリリース2 PS2とOracle Adaptive Access Managerリリース2 TAPの統合環境において、ユーザー・セッションがまだアクティブな状態で、Access Managerがリリース2からリリース2 PS2にアップグレードされ、それによってアップグレード前のセッション情報がアップグレード後に使用された場合、保護リソースへのログインは、無効なクラスに関する例外で失敗する可能性があります。統合を適切に機能させるには、アップグレードに先立ってサーバーを停止または起動する前に、「セッション管理」ページの「すべてのユーザー・セッションを削除」をクリックして、失効する既存のすべてのアップグレード前セッションを停止する必要があります。セッション管理の詳細は、『Oracle Access Management管理者ガイド 11gリリース2』の「Access Managerセッションの維持」の章のセッション管理ページに関する項を参照してください。
この項ではアイデンティティ・ストアの問題の解決策を提供します。
ユーザーはログインに失敗します。
原因
アイデンティティ・ストアのusername
属性がcn
ではない場合、ログインは失敗します。
解決策
この問題を修正する方法は、次のとおりです。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
「認証スキーム」ページで、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
チャレンジ・パラメータMatchLDAPAttribute
を追加し、値をアイデンティティ・ストアで指定したusername
属性に設定します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、uid
、mail
、cn
などに設定できます。
username
属性がuid
の場合は、MatchLDAPAttribute=uid
を追加します。
注意: 既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押す必要があります。 |
「適用」をクリックして変更を送信します。
認証は成功しても、最後のリダイレクトが次のエラーで失敗します。
Module oracle.oam.user.identity.provider Message Principal object is not serializable; getGroups call will result in an extra LDAP call Module oracle.oam.engine.authn Message Cannot assert the username from DAP token Module oracle.oam.user.identity.provider Message Could not modify user attribute for user : cn, attribute : userRuleAdmin, value : {2} .
原因
複数のアイデンティティ・ストアを伴う統合シナリオでは、デフォルト・ストアとして設定されたユーザー・アイデンティティ・ストアが認証およびアサーションに使用されます。
Access ManagerとOracle Adaptive Access ManagerのTAPを使用した統合では、TAPScheme
認証スキームのアサーションはデフォルト・ストアに対して行われます。この場合、LDAPモジュールに対して行われるバックエンド・チャネル認証では、特定のユーザー・アイデンティティ・ストア(たとえば、OID)が使用されます。ユーザー名がAccess Managerに返されると、アサーションはデフォルト・ストア(認証に使用されたものとは異なるOID)に対して行われます。
注意: セッション偽装のため、ユーザーおよび権限付与に使用されるOracle Internet Directoryインスタンスはデフォルト・ストアである必要があります。 |
解決策
異なるストアを指すようにデフォルト・ストアを変更した場合は、TAPScheme
も同じストアを指していることを確認します。
登録済ユーザーがLDAPから削除されても、登録済ステータス・レコードはOAAMデータベース内に残ります。そのユーザーが再度LDAPに追加された場合、OAAMデータベースとLDAPが同期されていないため、古い画像、フレーズおよびチャレンジ質問が使用されます。
この項では、その他の問題の解決策およびヒントを提供します。
Access ManagerおよびOAAMの統合環境で、特定のユーザーに対して統一セッションではなく複数のセッションが作成される場合、次のOAAMプロパティを設定してこの問題に対応します。
oaam.uio.oam.authenticate.withoutsession=false
統合に失敗する場合、Oracle Access Managementコンソールを使用してTokenValiditySeconds
を増加させます。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページで、「名前」フィールドにTAPScheme
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果表で「TAPScheme」を選択してから「編集」をクリックします。
TAPSchemeの具体的な詳細は、『Oracle Access Management管理者ガイド』の事前構成済の認証スキームに関する項を参照してください。
チャレンジ・パラメータTotalValiditySeconds
を追加し、値を目的の数に設定します。デフォルト値は1秒です。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
たとえば、TotalValiditySeconds=4
です
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
oam-config.xml
ファイルは、すべてのAccess Manager関連のシステム構成データを含んでおり、DOMAIN_HOME
/config/fmwconfig
ディレクトリにあります。
テキスト・エディタでoam-config.xml
ファイルを開きます。
vi DOMAIN_HOME/config/fmwconfig/oam-config.xml
OAAMPartner
を検索します。
TapTokenVersion
の値をv2.0
からv2.1
に変更します。
変更内容を保存します。
:wq!
OAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
左側のペインで、「環境」ノードの下の「プロパティ」をクリックします。
「プロパティ」ページで「新規プロパティ」ボタンをクリックします。
新しいプロパティを次のように指定します。
名前: oaam.uio.oam.dap_token.version
値: v2.1
「作成」をクリックします。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「Access Manager」セクションの「認証スキーム」をクリックします。
「名前」フィールドに、ターゲット・スキーム名として「TAPScheme」
と入力します。
「検索」ボタンをクリックして検索を開始します。
検索結果のリストで、ターゲット・スキームとして「TAPScheme」を選択します。
チャレンジ・パラメータTAPOverrideResource=http://IAMSuiteAgent:80/oamTAPAuthenticate
を追加します。チャレンジ・パラメータは、大文字と小文字が区別されるため、正しく入力するようにしてください。
注意: すでにパラメータがある場合に別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押してから、新しいパラメータを入力する必要があります。 |
変更を適用するには、「適用」をクリックします。
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合でOAAMAdvanced
認証スキームによって保護されたリソースにアクセスすることはできません。
原因
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合で、統合を適切に機能させるには、OAAMのパスワードと、この章に示されたパラメータに加えていくつかのパラメータを設定する必要があります。
解決策
この問題を解決するには、次のようにします。
OAAMのWebゲート・パスワードを設定します。
oaam.uio.oam.authenticate.withoutsession
をfalse
に設定します。デフォルトでは、これはtrue
に設定されています。