この章の構成は、次のとおりです。
Oracle Identity Managerデプロイメントの保護は、認可と強化を利用して行います。認可は、様々なコンポーネントへのアクセスを制御します。強化は、潜在的なセキュリティ上の脅威からコンポーネントを保護します。
表26-1に、Oracle Identity Managerデプロイメントの保護に関する情報を参照できる様々なトピックを示します。
表26-1 デプロイメントの保護
トピック | トピックのタイプ | 記載されている情報 |
---|---|---|
|
強化 |
スケジュール済タスクとスケジュール済ジョブ。必要なスケジュール済タスクのみが有効化されていることを確認してください。 |
「Oracle Identity Managerのシステム・プロパティ」 |
強化 |
システム動作に関連するシステム・プロパティ。パスワード・ポリシーおよびチャレンジ質問と回答が定義されていることを確認してください。 |
「コネクタのインストールのためのユーザー・アカウントの作成」 |
強化 |
コネクタをインストールするための固有の権限。 |
|
強化 |
Oracle Identity ManagerのSSL経由での動作の有効化。 |
『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のLDAP同期が有効化されている場合のLDAP認証の構成に関する説明 |
強化 |
LDAP認証の有効化。 |
「Oracle Identity Managerに関連するURL変更」 |
強化 |
統合された依存アプリケーションでの変更に対応して、Oracle Identity ManagerおよびOracle WebLogicで構成変更を行う手順。 |
「Oracle Identity Managerに関連するパスワード変更」 |
強化 |
依存製品または統合された製品でパスワードが変更された場合に、Oracle Identity MangerおよびOracle WebLogic構成のパスワードを変更する手順。 |
「Oracle Identity ManagerのSSLの構成」 |
強化 |
SSLの構成によるOracle Identity Managerの保護。 |
『Oracle Identity Managerでのセルフ・サービス・タスクの実行』のパスワード・ポリシーの管理に関する項 |
強化 |
パスワード・ポリシーの構成。 |
『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のセキュリティ・アーキテクチャに関する項 |
認可 |
Oracle Identity Managerの認可およびセキュリティ・モデル |
『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のロールの権限のチェックに関する項 |
認可 |
ロールのインポートおよびエクスポートの際のロールの権限。データ・オブジェクトが欠落している場合は、データ・オブジェクト権限を設定する際のエラーを確認してください。 |
関連項目: Oracle Identity Managementソフトウェアの統合および関連セキュリティの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』および『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。 |
Oracle Identity Managerアプリケーションは、デフォルトでSSLアクセス用に構成されていません。したがって、Oracle Identity Manager Webアプリケーションで使用されるoimjsessionid
Cookieは、HTTPSアクセスには安全ではありません。つまり、cookie-secure
タグがtrue
に設定されていません。しかし、Oracle Identity ManagerへのSSLアクセスが有効な場合は、cookie-secure
タグをtrue
に設定して、oimjsessionid
をセキュアなCookieとして構成することをお薦めします。このタグにより、ブラウザがHTTPS接続のみを介してCookieを返すことができます。これにより、Cookie IDが保護され、Oracle Identity ManagerのHTTPSアクセスでのみ使用されるようになります。これは、この機能が有効な場合は、Oracle Identity ManagerへのHTTPアクセスができないことを意味します。また、url-rewriting-enabled
要素を無効にする必要があります。
次のOracle Identity Manager UIページでは、セキュアなCookieを構成する必要があります。
/identity (OIM_HOME/apps/oracle.iam.console.identity.self-service.ear/ oracle.iam.console.identity.self-service.war)
/sysadmin (OIM_HOME/apps/oracle.iam.console.identity.sysadmin.ear/ oracle.iam.console.identity.sysadmin.war)
/oim (OIM_HOME/apps/oim.ear/iam-consoles-faces.war)
/xlWebApp (OIM_HOME/apps/oim.ear/xlWebApp.war)
セキュアなCookieは、iam.console.identity.self-service.ear
、oracle.iam.console.identity.sysadmin.ear
およびoim.ear
の各アプリケーションのデプロイメント・プランを更新することにより構成できます。
この項では、これらのアプリケーションのデプロイメント・プランがない場合に、デフォルトのシナリオでセキュアなCookieを構成する方法を説明します。また、デプロイメント・プランが明示的に構成されている場合、現在のデプロイメント・プランを更新する場合の構成についても説明します。この項の内容は次のとおりです。
アプリケーションに固有のデプロイメント・プランを構成するには、WebLogic管理コンソールにログインします。各アプリケーションのセキュアなCookieが有効になったデプロイメント・プランのサンプルを次に示します。
次は、oracle.iam.console.identity.self-service.ear
アプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secure
がtrue
に設定され、oracle.iam.console.identity.self-service.war
Webアプリケーションではurl-rewriting-enabled
がfalse
に設定されています。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.self-service.ear#V2.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>oracle.iam.console.identity.self-service.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
次は、oracle.iam.console.identity.sysadmin.ear
アプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secure
がtrue
に設定され、oracle.iam.console.identity.sysadmin.war
Webアプリケーションではurl-rewriting-enabled
がfalse
に設定されています。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.sysadmin.ear#V2.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_sysadmin_13909448828173</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_sysadmin_139095392691834</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>oracle.iam.console.identity.sysadmin.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_sysadmin_13909448828173</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_sysadmin_139095392691834</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
次は、oim.ear
アプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secure
がtrue
に設定され、iam-consoles-faces.war
およびxlWebApp.war
Webアプリケーションではurl-rewriting-enabled
がfalse
に設定されています。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oim#11.1.2.0.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_oim_13909448828170</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_oim_139095392691831</name> <value>false</value> </variable> <variable> <name>SessionDescriptor_CookieSecure_xlWebApp_13909448828171</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_xlWebApp_139095392691832</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>iam-consoles-faces.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_oim_13909448828170</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_oim_139095392691831</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> <module-override> <module-name>xlWebApp.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_xlWebApp_13909448828171</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_xlWebApp_139095392691832</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
デプロイメント・プランを構成するには、Oracle Identity Managerアプリケーションがデプロイされているホストにそれをコピーします。すべてのアプリケーション(iam.console.identity.self-service.ear
、oracle.iam.console.identity.sysadmin.ear
およびoim.ear
)で、次の手順を実行します。
WebLogic管理コンソールにログインします。
「デプロイメント」に移動し、アプリケーションを選択します。
「更新」をクリックします。「アプリケーション更新アシスタント」ページが表示されます。
デプロイメント・プランのパス構成に対して「パスの変更」をクリックします。
アプリケーションに固有のデプロイメント・プランのXMLファイルのパスを指定し、「次」をクリックします。
「このアプリケーションを新しいデプロイメント・プランの変更とあわせた場所に更新します」オプションを選択します。「終了」をクリックしてデプロイメント・プランの構成を完了します。必要に応じて変更を有効にします。
注意: iam.console.identity.self-service.ear およびoracle.iam.console.identity.sysadmin.ear のデプロイメント・プランの更新中の次のエラーは無視できます。
'weblogic.management.DeploymentException: The application oracle.iam.console.identity.self-service.ear#V2.0 cannot have the resource WEB-INF/weblogic.xml updated dynamically. Either: 1.) The resource does not exist. or 2) The resource cannot be changed dynamically. |
3つのすべてのアプリケーションで手順1から6を実行します。
Oracle Identity Manager管理対象サーバーを再起動します。
いずれかのアプリケーション(iam.console.identity.self-service.ear
、oracle.iam.console.identity.sysadmin.ear
およびoim.ear
)に既存デプロイメント・プランがある場合は、cookie-secure
およびurl-rewriting-enabled
を設定するために更新する必要があります。これを行うには、対応するデプロイメント・プランのXMLファイルを探し、「新規デプロイメント・プランの構成」のサンプル・デプロイメント・プランで示しているように、それを編集して強調表示されたコンテンツ(太字)を追加します。
たとえば、oracle.iam.console.identity.self-service.war
Webアプリケーションのcookie-secure
を設定するには、次のように強調表示されたコンテンツを追加します。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.self-service.ear#V2.0</application-name> ………… ………… <variable-definition> ………… <variable> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <value>false</value> </variable> ………… </variable-definition> ………… ………… <module-override> <module-name>oracle.iam.console.identity.self-service.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> ……….. <variable-assignment> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> ……… </module-descriptor> </module-override> </deployment-plan>
更新されたデプロイメント・プランのXMLファイルを保存し、Oracle Identity Manager管理対象サーバーを再起動して変更を有効にします。