| Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
前 |
次 |
この章では、モバイル・セキュリティ・アクセス・サーバー(MSAS)インスタンスのアイデンティティ・ストア・プロファイル、信頼できる発行者とDN、メッセージ・セキュリティ、ポリシー・アクセス、および認証エンドポイントやその他のセキュリティ設定を構成する方法について説明します。この構成は、OAMコンソールのMSASコンソール・コンポーネントまたはWLSTを使用して実行できます。ここでは両方の方法を説明します。Kerberos、WebGateとしてのMSASおよびMSAS SSOの場合の詳細構成手順や、OAuth2クライアント構成についても説明します。
内容は次のとおりです。
モバイル・セキュリティ・マネージャには、管理者が、OAMコンソールのMSASコンソール・コンポーネントにあるMSASインスタンスの構成・ページを使用して、MSASインスタンスを集中的に構成、管理するための機能が用意されています。このページから、アイデンティティ・ストア・プロファイルの作成、信頼できる発行者やメッセージ・セキュリティの設定、キャッシュ・リフレッシュ・レートおよび認証エンドポイント(KINIT/PKINITとOAuth2機密およびモバイル・クライアントなど)の構成が可能です。アウトバウンド・メッセージ設定、プロキシ・サーバー設定およびロギングなどの様々なシステム設定を構成することもできます。
また、WLSTコマンドでは、コマンドラインから、またはスクリプトを使用してMSASインスタンスを構成することもできます。WLSTコマンドの使用の詳細は、「WLSTを使用したMSASインスタンスの構成」を参照してください。
configMSASスクリプトまたはMSASコンソールを使用してMSASインスタンスを作成する場合、そのインスタンスに対して有効なすべてのプロパティとそのデフォルト値を含むデフォルト構成ドキュメントが、リポジトリに作成されます。この章の説明に従ってデフォルト構成を変更すると、この構成ドキュメントは変更を反映して更新されます。configMSASスクリプトを使用したMSASインスタンスの作成の詳細は、『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスの構成に関する項を参照してください。
MSASコンソール・ページまたはWLSTコマンドを使用して実行される構成は、論理インスタンス・レベルにのみ適用されます。インスタンスに対して定義されたすべての構成は、論理インスタンスにバインドされたすべての物理インスタンスによって共有されます。
ほとんどの場合、モバイル・セキュリティ・アクセス・サーバー構成を変更してもサーバーの再起動は必要ありません。デフォルトで、変更は、キャッシュ・リフレッシュ・プロパティを使用して指定できるユーザー定義のポーリング間隔を使用してサーバーと同期します。このキャッシュ・リフレッシュ・プロパティの設定の詳細は、「キャッシュ・リフレッシュ時間の構成」と「WLSTを使用したキャッシュ・リフレッシュ時間の構成」を参照してください。これらの変更をすぐに有効にする場合は、「MSASインスタンス構成の同期」の説明に従って、同期機能を使用できます。
ただし、アイデンティティ・ストア・プロファイルの作成など、状況によっては、構成の変更にはサーバー再起動が必要です。表6-1に、MSASサーバーの再起動が必要な構成更新のタイプをリストします。
表6-1 MSASサーバー再起動を必要とする構成の変更
| Configuration Update | 追加情報 |
|---|---|
|
アイデンティティ・ストア・プロファイルの作成または編集 |
「WLSTを使用したアイデンティティ・ストア・プロファイルの構成」 |
|
SSLキーストアおよびトラストストアの変更 |
|
|
アウトバウンド接続プールとHTTP接続プロパティの設定 |
|
|
アウトバウンド・プロキシ・サーバー設定の設定 |
|
MSASインスタンスの構成は、MSASインスタンス構成ページを使用して管理します。このページから、インスタンスについての全般的な構成情報の表示、アイデンティティ・ストア・プロファイルの構成、信頼できる発行者の定義、キーストア別名とメッセージ設定の構成、キャッシュ管理の構成、認証エンドポイントの構成、およびその他のシステム設定の構成ができます。
次の項では、MSASインスタンスの構成・ページで、様々なタブを使用してMSASインスタンスを構成する方法を説明します。
MSASインスタンスの構成ページの「一般」タブには、インスタンス名と表示名、説明、この論理インスタンスがバインドされている物理MSASインスタンスのURL、インスタンス内のURLおよびアプリケーションの数、バージョン・データなどの、インスタンスに関する基本情報が表示されます。インスタンスの表示名と説明を変更できます。また、構成のバージョン情報も表示されます。
インスタンスについての一般情報を表示する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
MSASタイルの「MSAS環境」ページで、「MSAS」または「インスタンス」をクリックします。MSASインスタンスのサマリー・ページが新しいタブで開きます。
環境の最初の8つのインスタンスが表示されます。追加のインスタンスを表示するには、「さらに表示」をクリックします。
必要に応じて、「検索」フィールドを使用して、インスタンスのリストを絞り込むか、特定のインスタンスを探します。「検索」フィールドで、名前のすべてまたは一部を入力して、検索アイコンを押します。
MSASインスタンスのサマリー・ページで、インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
MSASインスタンスの構成ページで、「一般」タブをクリックすると、インスタンスについての基本情報が表示されます。
| フィールド | 説明 |
|---|---|
| 名前 | MSASインスタンスID。このフィールドは読取り専用です。 |
| 表示名 | インスタンスを識別するために使用するわかりやすい名前。このフィールドは編集可能です。 |
| 説明 | インスタンスの説明。このフィールドは編集可能です。 |
| MSAS URL | この論理インスタンスがバインドされる物理MSASインスタンスのホストとポート。論理MSASインスタンスを複数の物理インスタンスにバインドできます。 |
| 統計 | インスタンスに構成されているURLとアプリケーションの数。 |
| バージョン情報 | 最後に更新したユーザーと更新日時を含む、インスタンスのバージョン番号。 |
MSASインスタンスの構成ページの「アイデンティティ・ストア・プロファイル」タブには、MSASインスタンスへのアイデンティティ・ストア・プロファイルの追加、既存のプロファイルの編集、プロファイルの削除およびデフォルトの設定を行う機能が表示されます。
アイデンティティ・ストア・プロファイルは、ユーザー・リポジトリの論理表現です。すべてのユーザーとグループ・エンティティは、このアイデンティティ・ストアに存在します。MSASインスタンスに関連付けられている複数のプロファイルが存在する可能性があり、すべての認証およびユーザー・プロファイルの問合せが発生する対象のデフォルトとして1つのプロファイルをマークできます。
アイデンティティ・ストアの構成は、MSASリポジトリのアイデンティティ・プロファイル・ドキュメントに格納されます。
アイデンティティ・ストア・プロファイルを構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
MSASタイルの「MSAS環境」ページで、「MSAS」または「インスタンス」をクリックします。MSASインスタンスのサマリー・ページが新しいタブで開きます。
環境の最初の8つのインスタンスが表示されます。追加のインスタンスを表示するには、「さらに表示」をクリックします。
必要に応じて、「検索」フィールドを使用して、インスタンスのリストを絞り込むか、特定のインスタンスを探します。「検索」フィールドで、名前のすべてまたは一部を入力して、検索アイコンを押します。
MSASインスタンスのサマリー・ページで、インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
MSASインスタンスの構成ページで、「アイデンティティ・ストア・プロファイル」タブをクリックします。
アイデンティティ・プロファイルを追加するには、「追加」をクリックします。
既存のアイデンティティ・プロファイルを編集するには、「編集」をクリックします。既存のプロファイルを編集する場合、フィールドに既存のプロファイルの構成情報が入力されている点に注意してください。
「アイデンティティ・ストア・プロファイル」ページが表示されます(図6-1参照)。
「アイデンティティ・ストア・プロファイル」ページで、「名前」および「説明」フィールドに、わかりやすい名前と説明を入力します。
「ディレクトリ情報」セクションで、アイデンティティ・ストアのディレクトリ・タイプ、ホスト名および資格証明の詳細を設定します。すべてのフィールドに記入したら、「接続のテスト」をクリックして、ディレクトリへの接続をテストします。
アイデンティティ・ストアへの接続が失敗する場合は、記入した値が正しいことを確認します。アイデンティティ・ストアがSSLポート上に構成されている場合は、SSLトラストストアに信頼できるSSL証明書があることを確認します。必要に応じて、「SSLキーストアとトラストストアの構成」の説明に従って、この信頼できる証明書をインポートできます。
| フィールド | 説明 |
|---|---|
| ディレクトリ・タイプ | 次のディレクトリ・タイプのいずれかをメニューから選択します。
|
| ホスト名 | 選択されたディレクトリを実行しているサーバーのホスト名。 |
| ポート | 選択されたディレクトリのアクセスに使用されるポート。 |
| SSL | SSLポートを使用して接続する場合、このコントロールを選択して、SSLを有効化します。 |
| トラスト・ストア・タイプ | モバイル・セキュリティ・アクセス・サーバーの場合、サポートされているトラストストア・タイプはKSSです。これは読取り専用フィールドです。 |
| トラスト・ストア・パス | 信頼ストアへの完全修飾パス。デフォルトでは、このパスはkss://msas_id/ssltruststoreです。msas_idは、このアイデンティティ・ストア・プロファイルを関連付けるインスタンスのMSAS IDです。このフィールドは読取り専用です。 |
| バインドDN | ディレクトリに接続するユーザーのDistinguishedName(DN)。 |
| バインド・パスワード/パスワードの確認 | 選択したディレクトリに接続するための、Bind DNのバインド・パスワード。 |
| ベースDN | すべてのユーザーおよびグループがLDAPディレクトリにあるLDAP検索ベース。たとえば、cn=us, dn=mycompany, dc=com |
「ユーザー」セクションで、アイデンティティ・ストア・プロファイルのユーザー名、ベースDNおよびオブジェクト・クラスを設定します。
| フィールド | 説明 |
|---|---|
| ベースDN | ユーザーが存在するコンテナ。たとえば、cn=users,dn=mycompany,dc=com. |
| ログインID属性 | ユーザーのログインID。通常、これはLDAPのuidまたはmail属性です。Active Directoryでは、これはUserPrincipalNameを示します。 |
| オブジェクト・クラス | ユーザーを表すために使用されるスキーマ・クラスの完全修飾名。デフォルトでは、このフィールドは標準のLDAPオブジェクトクラスinetOrgPersonに設定されます。
オブジェクト・クラスを追加するには、「追加」をクリックし、「オブジェクト・クラス名」フィールドに値を入力します。 オブジェクト・クラスを削除するには、削除するクラスを含む行を選択して、「削除」をクリックします。 |
「グループ」セクションで、アイデンティティ・ストア・プロファイルのグループ名、ベースDNおよびオブジェクト・クラスを設定します。
| フィールド | 説明 |
|---|---|
| ベースDN | LDAPディレクトリのグループ・エントリの検索ベース。たとえば、cn=group,dn=mycompany,dc=com. |
| グループ名属性 | グループまたはロールの名前を一意に識別する属性。たとえば、cnです。 |
| オブジェクト・クラス | グループを表すために使用されるスキーマ・クラスの完全修飾名。デフォルトでは、これはgroupofuniquenamesのLDAP標準オブジェクトクラスを示します。Active Directoryでは、これはgroupです。
オブジェクト・クラスを追加するには、「追加」をクリックし、「オブジェクト・クラス名」フィールドに値を入力します。 オブジェクト・クラスを削除するには、削除するクラスを含む行を選択して、「削除」をクリックします。 |
すべてのフィールドに記入したら、「保存」をクリックします。
複数のアイデンティティ・ストア・プロファイルを構成した場合、デフォルトとして使用するプロファイルを選択します。それには、表でプロファイルを選択して、「デフォルトとして設定」をクリックします。設定すると、すべての認証およびユーザー・プロファイルの問合せがデフォルトのアイデンティティ・ストア・プロファイルに対して発生します。
|
注意: idmConfigツールを-configOMSS mode=OMSAS引数とともに使用してMSASインスタンスのアイデンティティ・ストアを構成する場合、自動的に作成されるアイデンティティ・ストアがデフォルトになります。このセクションの説明に従って作成されるアイデンティティ・プロファイルをデフォルト・プロファイルとして使用するには、この手順の説明に従ってそのように設定する必要があります。 |
「適用」をクリックします。
MSASサーバーを再起動します。
MSASインスタンスの構成ページの「認証」タブでは、SAMLおよびJWT署名証明書のための、SAMLおよびJWTの信頼できる発行者と信頼できる識別名(DN)のリストを定義できます。
ここで定義する信頼できる発行者のリストは、インスタンスのすべてのアプリケーションに適用できるデフォルト・リストになります。この方法を使用して発行者を追加した場合、サーバーを再起動する必要はありません。
デフォルトの場合、MSASでは、受信した発行者名を構成済の発行者のリストと照合してチェックし、SAMLおよびJWT署名をMSASキーストアにある構成済の証明書と照合してチェックします。信頼できる発行者の信頼できるDNリストを定義した場合は、MSASではそのDNが信頼できるDNリストに属する特定の証明書に基づいてSAMLおよびJWTの署名が署名されているかどうかも検証されます。
信頼できるDNリストの構成はオプションです。詳細な制御を必要とするユーザーは、これにより各発行者を1つ以上の署名証明書のリストに関連付けることができます。信頼できる発行者のDNリストが定義されていない場合、署名証明書の証明書チェーン内のすべての中間証明書およびCA証明書がMSASキーストアに存在するかぎり、その証明書に基づいて署名できます。署名証明書が自己署名の場合、これがキーストア自体にある必要があります。
重要な注意事項:
「認証」タブにあるSAMLとJWTトラスト表を使用して、署名証明書のDN (証明書そのものでなく)を定義します。
署名証明書のCA証明書および中間証明書は、署名証明書がキーストアにあるか、メッセージで渡されるかにかかわらず、MSASキーストアにある必要があります。
双方向SSLの場合は、次のようにします。
Java EEコンテナのトラスト・ストアに証明書をインポートする必要があります。
検証にはクライアントSSL証明書のDNを使用します。このDNは信頼できるDNリストに存在している必要があります。
どのような場合も、署名証明書はMSASキーストアに存在する証明書によって信頼されている必要があります。
SAMLまたはJWT発行者の追加、SAMLまたはJWT署名証明書の信頼できるDNリストの定義、または発行者のDNリストへのDNの追加を行うには、次の手順を使用します。
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
MSASインスタンスの構成ページで、「認証」タブを選択します。
ページの「SAML信頼」または「JWT信頼」セクション(図6-2参照)で、次のいずれかを実行します。
信頼できるSTSサーバーの信頼できるSAML発行者を追加し、信頼できるDNリストを定義するには、「信頼できるSTS」表の「追加」をクリックします。SAML HOKおよびSAML Bearerには、このリストを使用します。
信頼できるSAMLクライアントの信頼できる発行者を追加し、信頼できるDNリストを定義するには、「信頼できるクライアント」表の「追加」をクリックします。SAML送信者保証には、このリストを使用します。
信頼できる発行者を追加し、信頼できるJWT発行者の信頼できるDNリストを定義するには、「信頼できる発行者」表で「追加」をクリックします。
「発行者名」列に、信頼できる発行者名(たとえば、www.yourcompany.com)を入力します。事前定義済のSAMLとJWTクライアント・ポリシーのデフォルト値は、www.oracle.comです。
「発行者DN」列に、信頼できる発行者のDNリストを入力します。RFC 2253に準拠する文字列を使用してください。たとえば、信頼する発行者www.oracle.comの信頼するDNは、CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=USのようになります。発行者のDNを複数追加するには、各DNをセミコロン(;)で区切ります。
RFC 2253の詳細は、http://www.ietf.org/rfc/rfc2253.txtを参照してください。
必要に応じて、別の信頼できる発行者およびDNリストを追加します。これを行うには、手順3から6を繰り返します。
信頼できる発行者のDNリストにDNを追加するには、表内の信頼できる発行者を選択し、「発行者DN」列のDNリストにDNを追加します。各DNはセミコロン(;)で区切ってください。
信頼できる発行者、DNリストまたはDNリストの個々のDNを削除する手順は、次のとおりです。
信頼できる発行者およびDNリストを削除するには、削除する発行者が含まれている行を選択し、「削除」をクリックします。
DNリストを削除するには、削除するDNの「発行者DN」フィールドを消去します。構成されているトークン・ルールも削除されます。
DNリストからDNを削除するには、信頼できる発行者の行を選択し、リストからDNを削除します。
|
注意: 「トークン・ルールの構成」機能は、将来の使用のために予約されています。 |
必要な発行者およびDNリストの構成が終了したら、「適用」をクリックします。
オプションで、これらの変更をすぐに有効にする場合は、「MSASインスタンス構成の同期」の説明に従って、同期機能を使用できます。
MSASインスタンスの構成ページの、「メッセージ・セキュリティ」タブを使用すると、MSASキーストアの署名と暗号化の別名を指定し、クロック・スキューやメッセージ期限切れ時間などのメッセージ・セキュリティ設定を構成することができます。この構成については、次の項で説明します。
MSASコンソールまたはconfigMSASスクリプトを使用してMSASインスタンスを作成する場合、デフォルトでは、MSASインスタンス名をストライプ名として使用して(たとえばkss://myinstance/keystore)、MSAS署名キーストアが作成されます。別名msm_sign_cert0を使用するMSMサーバーの署名証明書は、キーストアに自動的にインポートされます。MSMの署名証明書が証明書チェーンである場合、追加の証明書もインポートされます(たとえばmsm_sign_cert1、msm_sign_cert2、以下同様)。
インスタンスのアイデンティティ・ストアを構成すると、msas_id_orakeyという別名を使用してデフォルトの署名と暗号化鍵がインポートされます。このKSSキーストアがインスタンス・レベルで定義されるため、署名と暗号化鍵はインスタンス内のすべてのアプリケーションに適用されます。
「キーストア」セクションのフィールドを使用して、鍵ペアを生成してキーストアに鍵をインポートし、キーストアから鍵を削除することができます。これを行うには、次のようにします。
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
MSASインスタンスの構成ページで、「メッセージ・セキュリティ」タブをクリックします。
「別名の署名」別名キーをクリックして、新しい署名秘密鍵をインポートするか、鍵ペアを生成できます。
まだ物理インスタンスにバインドされていない論理インスタンスを構成する場合は、「クリックして追加」をクリックします。
キーストアから署名鍵と別名をインポートするには、「キーストアからのインポート」をクリックします。
「ファイルの選択」をクリックしてファイル・システムからインポートする鍵ファイルを選択して、「別名」フィールドに、インポートするキーの別名を入力します。キーのインポート元のキーストアがパスワードで保護されている場合、「キーストア・パスワード」および「別名のパスワード」フィールドに記入します。
「インポート」をクリックします。
鍵が、表の鍵のリストに追加されます。
新しい鍵ペアを生成するには、「鍵ペアの生成」をクリックし、鍵ペアの別名と識別名を入力します(図6-3参照)。
| フィールド | 説明 |
|---|---|
| 別名 | 鍵ペアの別名を入力します。このフィールドは必須です。 |
| 識別名 | 鍵ペアをラップする証明書の識別名(DN)を指定します。このフィールドは必須です。 |
| アルゴリズム | 対称鍵アルゴリズム。デフォルトはRSAです。 |
| キー・サイズ | RSAキー・サイズ。デフォルトは1024バイトです。 |
「鍵ペアの生成」ボタンをクリックします。
鍵ペアが表に追加されます。
署名鍵として使用する表の鍵を選択して、「OK」をクリックします。
メッセージを復号化するために使用する新しい秘密鍵をインポートするか、暗号化鍵ペアを生成するには、「別名の暗号化」別名鍵をクリックしてから、必要に応じて手順4から8を繰り返します。
インスタンスの復号化鍵として使用する別名を表で選択して、「OK」をクリックします。
利用できる鍵のリストから署名または暗号化鍵を削除するには、ポップアップ・ウィンドウで「別名の署名」または「別名の暗号化」鍵をクリックし、削除する鍵を選択して、「X」をクリックし、求めに応じて「はい」をクリックし、「OK」をクリックします。
エントリが表から削除されます。
「適用」をクリックします。
「メッセージ・セキュリティ」タブの「セキュリティ設定」セクションでは、システム・クロック間のデフォルトのメッセージ・タイムスタンプ・スキューや、メッセージ期限切れ時間などのセキュリティ設定をチューニングできます。
セキュリティ設定を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「メッセージ・セキュリティ」タブを選択します。
ページの「セキュリティ設定」セクションで、環境の必要に応じて次のプロパティを設定し、「適用」をクリックします。
クロック・スキュー: クライアント・マシンとサーバー・マシンの間での時間差の許容範囲(秒単位)を指定します。たとえば、メッセージのタイムスタンプがタイムゾーンの異なるサービスに送信された場合に、このプロパティで指定された許容時間が許容されます。デフォルト値は360,000ミリ秒(6分)。クロック・スキューを調整するには、フィールドに新しい値を入力するか、上下方向の矢印をクリックしてデフォルト値を増減します。
このプロパティは次のように構成する必要があります。
クライアントとサービスが異なるシステムで実行していて、システムのクロックが同期していない場合、クロック・スキューを大きくします。このような場合は、タイムスタンプ検証失敗のエラーで、サービスがクライアントからのメッセージを拒否する可能性があります。クロック・スキューを大きくすると、クライアントとWebサービスの間のクロックの差に対応できます。たとえば、サービスのクロックとクライアントのクロックの差が10分の場合、サービスをホストしているシステムでクロック・スキューを10分(600000ミリ秒)に増やします。
リプレイ攻撃を避けるためにサービスがクライアントからのメッセージを受け付ける時間枠を狭くする場合は、クロック・スキューを小さくします。
「クライアント・クロック・スキュー」: SAMLおよびJWTトークン生成のNotBeforeおよびNotOnOrAfter条件を計算するために使用される時間の許容範囲(単位は秒)。まとめて、これらの条件は、トークンの有効性を制限するために下限および上限を定義します。
メッセージ期限切れ時間: メッセージが作成されてから期限切れになるまでの時間(秒)を指定します。このプロパティは、タイムスタンプがトークンで送信される場合に、タイプスタンプが期限切れかどうかを検証するために使用されます。また、メッセージの作成時に、クライアント側でタイムスタンプ期限切れ時間を制御するためにも使用されます。ここで指定した値は、すべてのメッセージ保護およびSAMLおよびJWTアサーション・テンプレート要素に適用されます。デフォルト値は300,000ミリ秒(5分)。
クライアントとサービスのクロックの間に時間差がない場合でも、サービスが受信したときにメッセージが期限切れの場合は、メッセージの有効期限を増加する必要があります。メッセージの有効期限は、メッセージ期限切れ時間の値および受信メッセージ内の有効期限から求められ、2つのうち短い方の値となります。
たとえば、サーバーのメッセージ期限切れ時間が5分に設定されていて、受信メッセージの有効期限が6分の場合、有効なタイムスタンプ検証時間は5分のみであり、受信メッセージはその5分間のみ有効です。この場合は、サービス側でメッセージ期限切れ時間を増やす必要があります。(受信メッセージ内のタイムスタンプ有効期限を増加しても、メッセージ期限切れ時間は2つの値のうち短い方の値となるため、問題は解決しません。)
一方、サーバーのメッセージ期限切れ時間が5分で、受信メッセージの有効期限が3分の場合は、受信メッセージ(つまり、クライアント側)の有効期限を増加する必要があります。
|
注意: メッセージ期限切れ時間の値が大きくなるほど、セキュリティの脆弱性が露呈する可能性があります。 |
MSASインスタンスの構成ページの「ポリシー・アクセス」タブでは、MSASの実行時キャッシュのキャッシュ・リフレッシュ間の待機時間の長さを構成できます。物理MSASインスタンスは、MSASリポジトリで維持されている論理MSASインスタンスの構成をフェッチして、キャッシュします。このキャッシュは、このセクションで定義される設定に基づいて、定期的にリフレッシュされます。
キャッシュ・リフレッシュ時間を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「ポリシー・アクセス」タブを選択します。
ページの「キャッシュ管理」セクションで、「キャッシュ・リフレッシュ時間」プロパティ(キャッシュ・リフレッシュ間の待機時間。単位はミリ秒)を構成します。このプロパティを設定するには、フィールドに新しい値を入力するか、上下方向の矢印をクリックしてデフォルト値を増減します。デフォルトは86,400,000ミリ秒(24時間)です。
|
注意: このタブ上のその他のフィールドは、将来の使用のために予約されています。 |
「適用」をクリックしてプロパティの更新を保存します。
MSASインスタンスの構成ページの「認証エンドポイント」タブを使用すると、各初期認証タイプ(KINIT、PKINIT、OAuth2およびOracle Access Manager Mobile and Social)ごとに、ユーザーの初期認証に使用するエンドポイントを構成できます。
セッション・トークンの初期認証と生成について、モバイル・セキュリティ・アクセス・サーバーは、各初期認証タイプのURLを含む仮想(リバース・プロキシ)アプリケーションを提供します。これらの各URLには、リクエスト時認証用の事前定義済ポリシーと、レスポンス時セッション・トークン(SToken)生成ポリシーがプロビジョニングされています。
この節の内容は以下のとおりです。
「認証エンドポイント」タブのKINITおよびPKINITセクションでは、Kerberos Password Authentication (KINIT)およびPublic Key Cryptography for Initial Authentication (PKINIT)の処理に必要なKerberos構成ファイルkrb5.confのプロパティを構成できます。
このセクションのフィールドを使用して、Kerberosレルムの追加、編集、削除、DNSドメインの追加と削除、Kerberos暗号化タイプの指定、KerberosおよびKCMメッセージのロギング場所の指定、PKINITトラスト・アンカー使用の有効化ができます。MSASが再開されるたびにオーバーライドされるため、このkrb5.confファイルへの手動での変更は維持されないことに注意してください。
高度な構成の場合は、手動でkrb5.confを作成し、instance_root/instance_name/config/defaultディレクトリに保存してください。その場合、コンソールを使用して作成されるkrb5.confファイルよりも優先されます。次にそれをカスタマイズして、たとえば、特定のドメイン・コントローラを参照するように、または代替UPN接尾辞を持つ環境に対応するようにできます。詳細は、「高度なKerberos構成」を参照してください。
KINITとPKINITを構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブを選択します。
KINITおよびPKINITセクションを展開します(まだ展開されていない場合)。セクションを、図6-4に示します。
「レルム」セクションで、Kerberosレルムを構成します。
「追加」をクリックして、新しいKerberosレルムを追加します。
「レルム」ウィンドウで、名前、KDCホストとポートおよびレルムのデフォルト・ドメインを入力して、「OK」をクリックします。
| フィールド | 説明 |
|---|---|
| 名前 | レルムの名前を入力します。レルム名は、Active Directoryの設定時に定義されたREALM名と一致する必要があります。 |
| KDCホスト | 「名前」フィールドで指定されたレルムを実行するKDCサーバーのホストを入力します。 |
| KDCポート | オプションで、「名前」フィールドで指定したレルムを実行しているKDCサーバーのポートを入力します。 |
| デフォルト・ドメイン | フィールドにデフォルト・ドメインの名前を入力するか、メニューからデフォルト・ドメインを選択します。
通常、ドメイン名は |
ドメイン名が「ドメイン」表に自動的に追加される点に注意してください。
デフォルト・レルムを設定するには、「レルム」表でレルムを選択して、「デフォルトとして設定」をクリックします。
既存のレルムを編集するには、「レルム」表でレルムを選択して、「編集」をクリックします。レルムの名前は変更できない点に注意してください。「レルム」ウィンドウで、新しいKDCホスト、ポートまたはデフォルト・ドメインを入力して、「OK」をクリックします。
レルムを削除するには、「レルム」表でレルムを選択して、「削除」をクリックします。
「ドメイン」セクションで、DNSドメインを構成します。
「追加」をクリックしてDNSドメインを追加します。
「ドメイン」フィールドで名前を入力し、「レルム」フィールドで、関連付けられているレルムをメニューから選択します。
ドメインを削除するには、「ドメイン」表でドメインを選択して、「削除」をクリックします。
「暗号化」セクションで、TKTおよびTGS暗号化タイプを選択します。
「デフォルトTKT暗号化タイプ」メニューから、初期認証リクエスト時にクライアントが使用するセッション鍵暗号化タイプを選択します(AS-REQ)。
「デフォルトTGS暗号化タイプ」メニューから、TGSからサービスチケットをリクエストするときにクライアントが使用するセッション鍵暗号化タイプを選択します(TGS_REQ)。
サポートされている暗号化タイプのリストは、MIT Kerberosドキュメントの「Encryption types」(暗号化タイプ、http://web.mit.edu/Kerberos/krb5-1.12/doc/admin/conf_files/kdc_conf.html#encryption-types)を参照してください。
「ロギング」セクションで、KerberosとKerberos Cache Manager(KCM)メッセージのロギング場所を指定します。
Kerberos構成メッセージで使用するログの場所を選択します(krb5メニューとKCMメッセージ(KCMメニュー)。標準エラー・ストリームを使用してメッセージを記録するには、「STDERR」を選択します。メッセージをファイルに記録するには、「ファイル」を選択して、空のフィールドにログ・ファイルの場所を入力します。
KINITエンドポイントのポリシー構成を表示または編集する手順:
「ポリシーの編集」をクリックして、エンドポイントの「URLポリシー構成」ページを、「AuthnService」と言う名前の新しいタブに表示します。
2つのポリシーがデフォルトでアタッチされます。
HTTP Kerberosパスワード認証サービス・ポリシーは、リクエスト時エンドポイントにアタッチされています。この内部ポリシーは、Kerberosパスワード認証を可能にします。
HTTPセッション・トークン発行ポリシーは、レスポンス時エンドポイントにアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコン
をクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。
オプションで、「オーバーライド」タブをクリックして、プロパティ・オーバーライドを構成します。
HTTP Kerberosパスワード認証サービス・ポリシーに、署名鍵の名前とパスワードのために使用するCSFキー、keystore.sig.csf.keyを構成できます。
HTTPセッション・トークン発行ポリシーに、keystore.sig.csf.keyと、セッション・トークンを暗号化するために使用する証明書の別名、keystore.enc.csf.keyを構成できます。
インスタンスに対して構成されたものと異なる署名または暗号化鍵を使用する場合、これらの構成オーバーライドを使用することで可能です。キーストアに署名または暗号化CSFキーを追加するには、「クリックして追加」を押し、続いて「鍵ペアの生成」をクリックして鍵ペアを生成するか、「キーストアからのインポート」でキーストアからキーをインポートします。目的のキーを追加したら、表でキーを選択して、「OK」をクリックします。
|
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
ポリシー構成に変更を加えた場合は、「検証」をクリックしてポリシーを検証し、次に、「適用」をクリックして変更を保存します。「AuthnService」タブを閉じます。
エンドポイント構成を何も変更しなかった場合、タブを閉じて、MSASインスタンスの構成・ページに戻ることができます。
「PKINITトラスト・アンカー」セクションで、PKINIT認証のトラスト・アンカーを有効化できます。PKINITトラスト・アンカーは、トラストストアに格納されます。PKINITエンドポイントのポリシー構成を表示および編集することもできます。
「有効化」をクリックして、PKINITアンカーの使用を有効化し、KDC証明書を発行している期間を信頼します。
必要に応じて、トラストストアに証明書をインポートします。それには、「ファイルの選択」をクリックしてファイル・システムからファイルを選択し、「別名」フィールドに証明書の別名を入力し、「インポート」をクリックします。証明書が表に追加されます。
PKINITアンカーとして使用する表から信頼できる証明書を選択します。選択する証明書は、証明書チェーンの最初の証明書である必要があります。MSASは、開始点として選択された証明書を使用して完全なチェーンを自動的にフェッチします。
PKINITエンドポイントのポリシー構成を表示または編集するには、「ポリシーの編集」をクリックして、エンドポイントの「URLポリシー構成」ページを、「AuthnService」と言う名前の新しいタブに表示します。
2つのポリシーがデフォルトでアタッチされます。
HTTP Kerberos PKI認証サービス・ポリシーは、リクエスト時エンドポイントにアタッチされています。この内部ポリシーは、Kerberos PKI認証を可能にします。
HTTPセッション・トークン発行ポリシーは、レスポンス時エンドポイントにアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。
オプションで、「オーバーライド」タブをクリックして、プロパティ・オーバーライドを構成します。
HTTP Kerberos PKI認証サービス・ポリシーに、署名鍵の名前とパスワードのために使用するCSFキー、keystore.sig.csf.keyを構成できます。
HTTPセッション・トークン発行ポリシーに、keystore.sig.csf.keyと、セッション・トークンを暗号化するために使用する証明書の別名、keystore.enc.csf.keyを構成できます。
インスタンスに対して構成されたものと異なる署名または暗号化鍵を使用する場合、これらの構成オーバーライドを使用することで可能です。キーストアに署名または暗号化csfキーを追加するには、「クリックして追加」を押し、続いて「鍵ペアの生成」をクリックして鍵ペアを生成するか、「キーストアからのインポート」でキーストアからキーをインポートします。目的のキーを追加したら、表でキーを選択して、「OK」をクリックします。
|
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
ポリシー構成に変更を加えた場合は、「検証」をクリックしてポリシーを検証し、次に、「適用」をクリックして変更を保存します。「AuthnService」タブを閉じます。
エンドポイント構成を何も変更しなかった場合、タブを閉じて、MSASインスタンスの構成・ページに戻ることができます。
MSASインスタンスの構成・ページ最上部にある「適用」をクリックして、変更を保存します。
モバイル・セキュリティ・アクセス・サーバーがOracle Access Managerに対してユーザーを認証して、統合シングル・サインオンのためにOracle Access ManagerおよびOAuthのトークンを取得するためには、モバイル・セキュリティ・アクセス・サーバーがOracle Access Manager OAuthサービスを持つOAuth機密クライアントとして登録される必要があります。
「認証エンドポイント」タブの「OAuth2機密クライアント」セクションを使用して、必要なOAuth2機密クライアント・エンドポイントを構成し、Credential Store Framework(CSF)内のクライアントIDとシークレットを指定できます。
OAuth2機密クライアント・エンドポイントを構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブを選択します。
「OAuth2機密クライアント」セクションを展開します(まだ展開されていない場合)。
まだ構成されていない場合は、「エンドポイント」フィールドで、エンドポイントURLにOAuth Service Profile Endpointのホストとポートを追加します(たとえばhttp://myhost:port/ms_oauth/oauth2/endpoints/oauthservice)。これは、MSASサーバーがJWTユーザー・トークンおよびOAuth2機密クライアント認証フローのOAMトークンを作成できるエンドポイントです。
「ポリシーの編集」をクリックして、エンドポイントのポリシー構成を表示して、CSFクライアント・キーを指定します。エンドポイントの「URLポリシー構成」ページが、「AuthnService」と言う名前の新しいタブで開きます。
2つのポリシーがデフォルトでアタッチされています。
SSL経由HTTP OAuth2機密クライアント・ポリシーは、リクエスト時ポリシー強制エンドポイントにアタッチされています。この内部ポリシーは、OAuth2機密クライアント認証を実行し、OAuthおよびOAMトークンを作成します。
HTTPセッション・トークン発行ポリシーは、レスポンス時ポリシー強制エンドポイントにアタッチされています。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
SSL経由HTTP OAuth2機密クライアント・ポリシー・ポリシー名を選択するか、「オプション」メニュー・アイコン、「編集」の順にクリックして、ポリシーの詳細を表示し、ポリシー・オーバーライドを構成します。
オプションで、「オーバーライド」タブをクリックして、ポリシー・オーバーライドを構成します。
「SSL経由HTTP OAuth2機密クライアント・ポリシー」で、oauth2.client.csf.keyプロパティを構成できます。ポリシーにおけるこのプロパティのデフォルト値は、oauth2.confidential.client.credentialsに設定されます。configMSASを使用してインスタンスを作成すると、デフォルトのクライアントIDとパスワードを使用して、このプロパティのCSFキーが作成されます。クライアントIDはMSAS_Instance_ID_MSASClientという形式であり(たとえばmyinstance1_MSASClient)、パスワードはランダムに生成されます。
この値を変更するには、「値」フィールドでOAuth2クライアントCSFキーを入力して、「適用」をクリックします。
HTTPセッション・トークン発行ポリシーに、keystore.sig.csf.keyと、セッション・トークンを暗号化するために使用する証明書の別名、keystore.enc.csf.keyを構成できます。
インスタンスに対して構成されたものと異なる署名または暗号化鍵を使用する場合、これらの構成オーバーライドを使用することで可能です。キーストアに署名または暗号化csfキーを追加するには、「クリックして追加」を押し、続いて「鍵ペアの生成」をクリックして鍵ペアを生成するか、「キーストアからのインポート」でキーストアからキーをインポートします。目的のキーを追加したら、表でキーを選択して、「OK」をクリックします。
|
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
ポリシー構成に変更を加えた場合は、「検証」をクリックしてポリシーを検証し、次に、「適用」をクリックして変更を保存します。「AuthnService」タブを閉じます。
エンドポイント構成を何も変更しなかった場合、タブを閉じて、MSASインスタンスの構成・ページに戻ることができます。
MSASインスタンスの構成・ページ最上部にある「適用」をクリックして、変更を保存します。
「認証エンドポイント」タブの「OAuth2モバイル・クライアント」セクションを使用して、Oracle Access Manager Mobile and Socialモバイル・クライアント認証のために必要なOAuth2モバイル・クライアント・エンドポイントを構成し、Credential Store Framework(CSF)内のクライアントIDとシークレットを指定できます。
OAuth2モバイル・クライアント・エンドポイントを構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブを選択します。
「OAuth2モバイル・クライアント」セクションを展開します(まだ展開されていない場合)。
まだ構成されていない場合は、「エンドポイント」フィールドで、エンドポイントURLにOAuth Service Profile Endpointのホストとポートを追加します(たとえばhttp://myhost:port/ms_oauth/oauth2/endpoints/oauthservice)。これは、MSASサーバーがJWTユーザー・トークンおよびOAuth2モバイル・クライアント認証フローのOAMトークンを作成できるエンドポイントです。
「ポリシーの編集」をクリックして、エンドポイントのポリシー構成を表示して、CSFクライアント・キーを指定します。エンドポイントの「URLポリシー構成」ページが、「AuthnService」と言う名前の新しいタブで開きます。
2つのポリシーがデフォルトでアタッチされています。
SSL経由HTTP OAuth2モバイル・クライアント・ポリシーは、リクエスト時ポリシー強制ポイントにアタッチされています。この内部ポリシーは、OAuth2モバイル・クライアント認証を実行し、OAuthおよびOAMトークンを作成します。
HTTPセッション・トークン発行ポリシーは、レスポンス時ポリシー強制ポイントにアタッチされています。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
SSL経由HTTP OAuth2モバイル・クライアント・ポリシー・ポリシー名を選択するか、「オプション」メニュー・アイコン、「編集」の順にクリックして、ポリシーの詳細を表示し、ポリシー・オーバーライドを構成します。
オプションで、「オーバーライド」タブをクリックして、ポリシー・オーバーライドを構成します。
SSL経由HTTP OAuth2モバイル・クライアント・ポリシーで、oauth2.mobile.client.csf.keyプロパティを構成できます。ポリシーにおけるこのプロパティのデフォルト値は、oauth2.mobile.client.idに設定されます。configMSASを使用してインスタンスを作成すると、デフォルトのクライアントIDとパスワードを使用して、このプロパティのCSFキーが作成されます。クライアントIDはMSAS_Instance_ID_OracleContainerという形式です(たとえばmyinstance1_OracleContainer)。パスワードは、この構成で使用されないため、任意の値を使用できます。
この値を変更するには、「値」フィールドでOAuth2クライアントCSFキーを入力して、「適用」をクリックします。
HTTPセッション・トークン発行ポリシーに、keystore.sig.csf.keyと、セッション・トークンを暗号化するために使用する証明書の別名、keystore.enc.csf.keyを構成できます。
インスタンスに対して構成されたものと異なる署名または暗号化鍵を使用する場合、これらの構成オーバーライドを使用することで可能です。キーストアに署名または暗号化csfキーを追加するには、「クリックして追加」を押し、続いて「鍵ペアの生成」をクリックして鍵ペアを生成するか、「キーストアからのインポート」でキーストアからキーをインポートします。目的のキーを追加したら、表でキーを選択して、「OK」をクリックします。
|
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
ポリシー構成に変更を加えた場合は、「検証」をクリックしてポリシーを検証し、次に、「適用」をクリックして変更を保存します。「AuthnService」タブを閉じます。
エンドポイント構成を何も変更しなかった場合、タブを閉じて、MSASインスタンスの構成・ページに戻ることができます。
MSASインスタンスの構成・ページ最上部にある「適用」をクリックして、変更を保存します。
「認証エンドポイント」タブの「Cryptoサービス」セクションでは、PKI Cryptoサービスでキー・ロールオーバー機能を構成したり、必要に応じてポリシー・エンドポイント構成を変更したりできます。
Cryptoサービス・エンドポイントを構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブを選択します。
「Cryptoサービス」セクションを展開します(まだ展開されていない場合)。
オプションで、キー・ロールオーバー別名機能を有効化できます。デフォルトでは、「キー・ロールオーバー別名」フィールドは空欄であり、キー・ロールオーバー・サポートは有効ではありません。キー・ロールオーバーを有効化するには、メニューから別名を選択するか、「すべて」を選択します。選択した別名が、ロールオーバー機能で使用する別名の順序付きリストに追加されます。指定の暗号文の復号化がすべてのアーカイブ済秘密鍵で失敗しないかぎり、cryptoサービスは復号化エラーを戻しません。
MSASの暗号化/署名鍵を変更する場合は常に、必ず新しい署名鍵を新しいエントリとして追加し、既存のキーをキーストアに保持するようにします。ここで選択する別名は、以前の鍵の別名にしてください。そのためには、キーストアに暗号化鍵を追加するたびに、このリストに以前の鍵を追加していることを必ず常に確認してください。そうすることで、たとえ鍵を変更しても、以前の鍵を使用して暗号化されたデータを確実に復号化できます。
「ポリシーの編集」をクリックして、エンドポイントのポリシー構成を表示します。エンドポイントの「URLポリシー構成」ページが、「AuthnService」と言う名前の新しいタブで開きます。
2つのポリシーが、デフォルトでリクエスト時ポリシー強制ポイントにアタッチされています。
HTTPセッション・トークン検証ポリシーは、タイムスタンプおよび署名を含むセッション・トークンを検証して、暗号化されたデータを復号し、セッション・トークンのユーザーIDを使用してアイデンティティをアサートします。検証に失敗した場合、リクエストは却下されます。
HTTPアクション・セキュリティ・ポリシーは、SKEK暗号化と復号化を実行します。
オプションで、HTTPセッション・トークン検証ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。
インスタンスに対して構成されたものと異なる署名または暗号化鍵を使用する場合、これらの構成オーバーライドを使用することで可能です。署名鍵名とパスワードに対して使用されるCSFキーであるkeystore.sig.csf.keyと、セッション・トークンを暗号化するために使用する証明書の別名であるkeystore.enc.csf.keyを構成できます。
キーストアに署名または暗号化csfキーを追加するには、「クリックして追加」を押し、続いて「鍵ペアの生成」をクリックして鍵ペアを生成するか、「キーストアからのインポート」でキーストアからキーをインポートします。目的のキーを追加したら、表でキーを選択して、「OK」をクリックします。
|
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
ポリシー構成に変更を加えた場合は、「検証」をクリックしてポリシーを検証し、次に、「適用」をクリックして変更を保存します。「AuthnService」タブを閉じます。
エンドポイント構成を何も変更しなかった場合、タブを閉じて、MSASインスタンスの構成・ページに戻ることができます。
MSASインスタンスの構成・ページ最上部にある「適用」をクリックして、変更を保存します。
MSASインスタンスの構成ページの「システム設定」タブでは、アウトバウンド・メッセージ、プロキシ・サーバー、ロード・バランシング、SSLおよびロギングの設定を構成できます。この構成については、次の項で説明します。
「システム設定」タブの「アウトバウンド・メッセージの設定」セクションでは、バックエンド・サービスへのクライアント接続を構成できます。
アウトバウンド・メッセージ設定を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「システム設定」タブを選択します。
「アウトバウンド・メッセージの設定」セクションを展開します(まだ展開されていない場合)。
接続プール設定と接続タイムアウトを指定します。そのためには、フィールドをクリックしてデフォルトを参照し、上下方向の矢印をクリックして値を調整します。
| フィールド | 説明 |
|---|---|
| プール内の合計接続数 | クライアントが処理できる、プール内の最大接続数を指定します。デフォルトは512です。 |
| ホスト当たりの最大接続数 | クライアントが処理できる、ホスト当たりのプール内の最大接続数を指定します。デフォルトは25です。 |
| 接続タイムアウト | バックエンド・ホストへの接続時にクライアントが待機できる最大時間を指定します(単位はミリ秒)。デフォルトは20,000ミリ秒です。 |
| アイドル接続プール・タイムアウト | クライアントがプール内のアイドル接続を保持する最大時間を指定します(単位はミリ秒)。デフォルトは180,000ミリ秒(3分)です。 |
| リクエスト・タイムアウト | クライアントがレスポンスを待機できる最大時間を指定します(単位はミリ秒)。デフォルトは60,000ミリ秒(1分)です。 |
ページ最上部にある「適用」をクリックして、変更を保存します。
MSASサーバーを再起動します。
「システム設定」タブの「プロキシ・サーバー設定」セクションでは、バックエンド・アプリケーションおよびサービスのMSAS経由のインターネットに対するアウトバウンド・コールに使用されるプロキシ・サーバーを構成できます。
プロキシ・サーバー設定を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「システム設定」タブを選択します。
「プロキシ・サーバー設定」セクションを展開します(まだ展開されていない場合)。
ホスト名とポート、ユーザーIDとパスワード、プロキシを使用しないホストのリストなどのプロキシ・サーバーの設定を指定します。
| フィールド | 説明 |
|---|---|
| 名前 | 一意に識別できるプロキシ・サーバーの名前を入力します。このフィールドはオプションです。 |
| ホスト名 | プロキシ・サーバーのホスト名を入力します。 |
| ポート | プロキシ・サーバーのポート番号を入力します。 |
| ユーザー名 | プロキシ・サーバーに接続するユーザーIDを入力します。
注意: ユーザー名とパスワードは、プロキシ・サーバーが認証を必要とする場合のみ必須です。 |
| パスワード | プロキシ・サーバー・ユーザーIDに対応するパスワードを入力します。 |
| プロキシを使用しないホスト名 | プロキシ・サーバーを使用しないホストを入力します。このフィールドは、接頭辞と接尾辞としてのみ、アスタリスク*ワイルドカードをサポートします。
デフォルトで、このフィールドには、値 |
ページ最上部にある「適用」をクリックして、変更を保存します。
MSASサーバーを再起動します。
「システム設定」タブの「サーバー設定」セクションでは、ロード・バランシングURLなどのMSASサーバーの一般的なサーバー設定や、サービス・プリンシパル名およびURLマッピングを構成できます。
サーバー設定を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「システム設定」タブを選択します。
「サーバー設定」セクションを展開します(まだ展開されていない場合)。
サーバーのロード・バランサURLを指定します。
| フィールド | 説明 |
|---|---|
| ロード・バランサURL | フロント・エンドのロード・バランサの非SSL URLを入力します(たとえばhttp://lbr.example.org:80)。 |
| ロード・バランサSSL URL | フロント・エンドのロード・バランサのSSL URLを入力します(たとえばhttps://lbr.example.org:443)。 |
「サービス・プリンシパル名」セクションのフィールドに記入して、URLを「サービス・プリンシパル名」にマップします。サービス・プリンシパル名は、NTLMおよびSPNEGOプロトコルに必要です。
「URL」フィールドに、サービス・プリンシパル名URLを入力します。ワイルドカード*は、URLのどこでも使用できます(たとえばhttp*://example.host*80/* or *.example.org)。
「サービス・プリンシパル名」フィールドに、サービス・プリンシパル名をSPN_SERVICECLASS/SPN_HOSTNAMEの形で入力します。
サービス・プリンシパル名をさらに追加するには、「追加」をクリックして、新しい行の「URL」および「サービス・プリンシパル名」フィールドに値を入力します。
サービス・プリンシパル名を削除するには、行を選択して、「削除」をクリックします。
ページ最上部にある「適用」をクリックして、変更を保存します。
「システム設定」タブの「SSL設定」セクションでは、SSLトラストストアに証明書を、SSLキーストアに秘密鍵を追加できます。SSLキーストアは、MSASへのインバウンドSSL接続のため、およびMSASアイデンティティ・キーストアとして、使用されます。SSLトラストストアは、クライアント証明書を信頼または認証するための信頼できる証明書のリポジトリとして使用されます(双方向SSLの場合)。
SSL設定を構成する手順:
MSASインスタンスの構成ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「システム設定」タブを選択します。
「SSL設定」セクションを展開します(まだ展開されていない場合)。
「SSLトラストストアの場所」および「SSLキーストアの場所」フィールドは読取り専用で、インスタンスのSSLトラストストアとSSLキーストアの場所が含まれます。KSSキーストアのみサポートされ、したがって、これらのフィールドはKSS URIを含む必要がある点に注意してください。
SSLトラストストアにサーバー証明書をインポートする手順:
「クリックしてインポート」をクリックします。
「サーバー証明書」ウィンドウで、「ファイルの選択」をクリックして、ファイル・システムからインポートする証明書を選択します。
|
注意: Base64でエンコードされた証明書のみサポートされます。 |
インポートする証明書の「別名」を入力し、「証明書タイプ」メニューから「信頼できる証明書」を選択して、「インポート」をクリックします。
インポートされた証明書は、表の、証明書のリストに追加されます。
「閉じる」をクリックして「サーバー証明書」ウィンドウを閉じます。
秘密鍵をインポートするか、SSLキーストアに追加する鍵ペアを生成する手順:
「クリックして追加」をクリックして、「秘密鍵」ウィンドウを表示します。
「秘密鍵」ウィンドウから、鍵ペアを生成したり、JKSキーストアから秘密鍵をインポート生成したりできます。
MSAS SSLアイデンティティの個人鍵ペアを生成するには、「鍵ペアの生成」をクリックします。
「別名」フィールドに、鍵ペアの別名を入力します。
「識別名」フィールドに、鍵ペアをラップしている証明書の識別名を入力します。
「アルゴリズム」フィールドに、対称鍵アルゴリズムを入力します。デフォルトはRSAです。
「鍵のサイズ」フィールドに、RSAキー・サイズを入力します。デフォルトは1024バイトです。
「鍵ペアの生成」ボタンをクリックします。鍵ペアが作成され、鍵ペア表に追加されます。
Javaキーストア・ファイルをキーストア・サービスにインポートするには、「ファイルの選択」をクリックして、インポートするJavaキーストア・ファイルを選択します。
鍵ファイルのインポート元のJKSキーストアがパスワードで保護されている場合、JKSキーストアの「キーストア・パスワード」を入力します。
鍵ペアの「別名」と、別名がパスワードで保護されている場合、「別名のパスワード」を入力します。
「インポート」をクリックします。
ページ最上部にある「適用」をクリックして、変更を保存します。
MSASサーバーを再起動します。
WLSTコマンドを使用して、アイデンティティ・ストア・プロファイル、信頼できる発行者とDN、メッセージ・セキュリティ、ポリシー・アクセス、認証エンドポイント、その他のセキュリティ設定およびMSASハートビートなど、MSASインスタンスを構成できます。
MSASインスタンスを構成するために使用するプロパティの大部分は、setMSASConfigurationコマンドを使用して設定できます。このコマンドの使用の詳細は、「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」を参照してください。
アイデンティティ・ストア・プロファイル、信頼できる発行者とDNリスト、資格証明ストアおよびMSASのKSSキーストアを構成するための、追加のコマンドが用意されています。これらのコマンドについては、関連する項で説明します。
次以降の項では、WLSTコマンドを使用してMSASインスタンスを構成する方法を説明します。
MSASインスタンスを構成するために使用するWLSTコマンドは、インストールされたモバイル・セキュリティ・マネージャ(MSM)のORACLE_IDM/common/binディレクトリから実行する必要があります。これらのコマンドを実行する前に、MSMドメインの管理サーバーが実行されていることを確認します。
MSAS WLSTコマンドにアクセスする手順:
インストールされているモバイル・セキュリティ・マネージャのMiddlewareホーム・ディレクトリのORACLE_IDM/common/binディレクトリ(たとえば/home/oracle/omsm/ORACLE_IDM/common/bin)に移動します。
WLSTをオフライン・モードで開始するには、次のコマンドを使用します。
./wlst.sh
MSAS WLSTコマンドを使用するには、WLSTをオンライン・モードで使用する必要があります。
connect()コマンドを使用して、実行されているモバイル・セキュリティ・マネージャ管理サーバーに接続します。
たとえば、次のコマンドは、ユーザー名/パスワードの資格証明weblogic/password1を使用して、URL myAdminServer.example.com:7001でWLSTを管理サーバーに接続します。
connect("weblogic","password1","t3://myAdminServer.example.com:7001")
リポジトリ内の現在の構成ドキュメントに指定されている構成プロパティは、その値およびグループと合せてすべて表示できます。構成ドキュメント内でプロパティが定義されていない場合は、製品に対して定義されているデフォルト値が表示されます。
MSASインスタンスの構成を表示する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
displayMSASConfiguration()コマンドを使用して、MSASインスタンス構成を表示します。
displayMSASConfiguration([instanceName=None])
たとえば、myinstance1という名前のインスタンスの構成を表示するには、次のコマンドを入力します。
wls:/new_domain/serverConfig> displayMSASConfiguration('myinstance1')
.
.
.
Name: "client.clock.skew" Category: "Agent" Source: "default"
Value: 0
Name: "compliance.check" Category: "Agent" Source: "default"
Value: true
Name: "clock.skew" Category: "Agent" Source: "default"
Value: 360000
Name: "expire.time" Category: "Agent" Source: "default"
Value: 300000
Name: "cache.refresh.repeat" Category: "BeanAccessor" Source: "default"
Value: 600000
.
.
.
前述の出力では、構成プロパティ設定のソースがdefaultとして示されています。つまり、設定は、製品のデフォルト構成ドキュメントに基づきます。設定が変更されている場合、その設定はインスタンスの構成ドキュメントに保存され、SOURCEフィールドに反映されます。例:
Name: "max.connection.pool.per.host" Category: "ClientConfiguration" Source: "myinstance1" Value: 100
|
注意: displayMSASConfigurationコマンドの出力に表示されるプロパティのいくつかは、モバイル・セキュリティ・アクセス・サーバーのこのリリースではサポートされていず、将来の使用のために予約されています。これは、特に次のカテゴリのプロパティに当てはまります。
|
インスタンス・レベルの構成プロパティの多くは、この項で説明するとおり、setMSASConfigurationコマンドを使用して設定できます。セッションのコンテキストでsetMSASConfigurationコマンドを使用する必要はありません。
setMSASConfigurationコマンドを使用してMSASインスタンスの構成プロパティを設定または変更する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
オプションで、displayWSMConfiguration()コマンドを使用して、インスタンスの現在の構成を表示します(「WLSTを使用したMSASインスタンス構成の表示」参照)。
setMSASConfiguration()コマンドを使用して、必要な構成プロパティを設定します。
setMSASConfiguration (instanceName,categoryName,propertyName,[groupName=None],[PropertyValues=None])
コマンドの説明は次のとおりです。
instanceName: 構成を変更するMSASインスタンス。
categoryName: プロパティが属するカテゴリ。デフォルトのプロパティ・セットに対してカテゴリが検証され、有効かどうかが確認されます。このフィールドは必須です。
propertyName: プロパティの名前。デフォルトのプロパティ・セットに対して名前が検証され、有効かどうかが確認されます。このフィールドは必須です。
groupName: 構成ドキュメントに追加する値のセットが含まれているグループ。グループが存在し、この値がNoneに設定される場合、グループは削除されます。このフィールドはオプションです。
propertyValues: 構成ドキュメント内のプロパティまたはグループに対して設定する値の配列。デフォルトは「None」で、空の配列リストを参照しています。このフィールドはオプションです。
このコマンドは次のように動作します。
プロパティがすでに定義されている場合、更新された値を「propertyValues」フィールドに入力して更新できます。プロパティは、新しい値に設定されます。
プロパティ設定をクリアするには、「propertyValues」フィールドに値を入力しません。
たとえば、アウトバウンド・メッセージ設定の最大接続プール・プロパティを変更する手順:
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','ClientConfiguration','max.connection.pool.total',None,['1000']) A new property "max.connection.pool.total" within category "ClientConfiguration" has been added. The values "[1000]" have been added to property "max.connection.pool.total" within category "ClientConfiguration". Configuration properties associated with the MSAS instance "myinstance1" has been updated. wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','ClientConfiguration','max.connection.pool.per.host',None,['100']) A new property "max.connection.pool.per.host" within category "ClientConfiguration" has been added. The values "[100]" have been added to property "max.connection.pool.per.host" within category "ClientConfiguration". Configuration properties associated with the MSAS instance "myinstance1" has been updated.
たとえば、ホスト・プロパティ当たりの最大接続をクリアする手順:
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','ClientConfiguration','max.connection.pool.per.host',None,None)
Value elements removed from the property "max.connection.pool.total" within category "ClientConfiguration".
The property "max.connection.pool.total" within category "ClientConfiguration" has been removed.
Configuration properties associated with the MSAS instance "myinstance1" has been updated.
|
注意: 構成プロパティを変更しないか、前述の例に示すようにプロパティを削除した場合、実行時にはデフォルト値が使用されます。 |
各構成タイプの構成プロパティとデフォルト値のリストについては、次の各項を参照してください。
モバイル・セキュリティ・アクセス・サーバーには、MSASインスタンスにアイデンティティ・ストア・プロファイルの追加、既存のプロファイルの編集、プロファイルの削除およびデフォルト・プロファイルの設定ができるWLSTコマンドが含まれています。
アイデンティティ・ストア・プロファイルは、ユーザー・リポジトリの論理表現です。すべてのユーザーとグループ・エンティティは、このアイデンティティ・ストアに存在します。MSASインスタンスに関連付けられている複数のプロファイルが存在する可能性があり、すべての認証およびユーザー・プロファイルの問合せが発生する対象のデフォルトとして1つのプロファイルをマークできます。
アイデンティティ・ストアの構成は、MSASリポジトリのアイデンティティ・プロファイル・ドキュメントに格納されます。
WLSTを使用してアイデンティティ・ストア・プロファイルを作成、変更および削除する場合、セッションのコンテキストでコマンドを実行する必要があります。各セッションは、単一のアイデンティティ・ストア・プロファイル・ドキュメントにのみ適用されます。
これらのコマンドの詳細は、Identity and Access Management WebLogic Scripting Toolコマンド・リファレンスの、MSASアイデンティティ・ストア・プロファイル・コマンドに関する項を参照してください。
次の各項では、アイデンティティ・プロファイル管理のために対話モードでWLSTを使用する方法を説明します。
WLSTを使用してアイデンティティ・ストア・プロファイルを作成する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
リポジトリを変更するセッションを作成するために、beginRepositorySessionコマンドを使用します。すべての作成、変更または削除のコマンドは、セッションのコンテキストで実行する必要があります。セッションは、単一のドキュメントにのみ作用できます。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository Session begun.
displayIdentityProfileコマンドを使用して、インスタンスに構成されているアイデンティティ・プロファイル・ドキュメントをリストします。
displayIdentityProfile(instanceName, [profileName=None])
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルを表示するMSASインスタンスの名前。このフィールドは必須です。
profileName: 表示する特定のアイデンティティ・プロファイルの名前。このフィールドはオプションです。profileName引数に値が入力されていない場合、インスタンスに関連付けられているすべてのアイデンティティ・プロファイルが表示されます。
例:
wls:/base_domain/serverConfig> displayIdentityProfile('myinstance1')
No identity profiles exist for instance "myinstance1"
createIdentityProfileコマンドを使用して、アイデンティティ・ストア・プロファイル・ドキュメントを作成します。
createIdentityProfile(instanceName, profileName, [description=None])
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルを作成するMSASインスタンスの名前。このフィールドは必須です。
profileName: アイデンティティ・プロファイルの名前。
description: アイデンティティ・プロファイルの説明。この引数はオプションです。
例:
wls:/base_domain/serverConfig> createIdentityProfile('myinstance1','identity-profile1','Identity Profile 1')
Identity profile "identity-profile1" for instance "myinstance1" is successfully created in session.
Commit session will be required to reflect the operation in the repository.
|
注意: 1つのセッション内に複数のアイデンティティ・プロファイルを作成することはできません。別のアイデンティティ・プロファイルを作成するには、セッションをコミットし、新しいセッションを開始する必要があります。 |
アイデンティティ・プロファイル・ディレクトリを設定するには、setIdentityProfileDirectoryコマンドを使用します。
setIdentityProfileDirectory(directoryType, hostport, bindDN, bindPass, baseDN, isSecure)
コマンドの説明は次のとおりです。
directoryType: アイデンティティ・プロファイルで使用するディレクトリのタイプ。サポートされている値は次のとおりです。
OID (Oracle Internet Directory)
OUD (Oracle Unified Directory)
ACTIVE_DIRECTORY
ODSEE (Oracle Directory Server Enterprise Edition)
WLS_LDAP (WebLogic Serverの組込みLDAP)
hostport: 選択されたディレクトリを実行しているサーバーのホスト名とポート。
bindDN: ディレクトリに接続するユーザーのDistinguishedName(DN)。
bindPass: ディレクトリに接続するためのバインドDNのパスワード。
baseDN: すべてのユーザーおよびグループがLDAPディレクトリにあるLDAP検索ベース。たとえば、cn=us, dn=mycompany, dc=com
isSecure: ディレクトリにSSL経由で接続するかどうかを示すフラグ(ブール値)。trueに設定されている場合、接続はSSL経由で構成されます。
例:
wls:/base_domain/serverConfig> setIdentityProfileDirectory('OID',['host1.mycompany.com:5678'],'cn=host,dn=mycompany,dn=com','welcome','cn=us,dn=mycompany,dn=com',false)
Directory information for identity profile set successfully.
アイデンティティ・プロファイルのユーザー情報を設定するには、setIdentityProfileUserコマンドを使用します。
setIdentityProfileUser(baseDN, loginIDAttribute, objectClassNames)
コマンドの説明は次のとおりです。
baseDN: ユーザーを作成または検索するために使用するベースDN。たとえば、cn=users,dn=mycompany,dc=com.
loginIDAttribute: ユーザーのログインID。通常、これはLDAPのuidまたはmail属性です。Active Directoryでは、これはUserPrincipalNameを示します。
objectClassNames: ユーザーを表現するために使用するスキーマ・クラスの完全修飾名。通常、このフィールドは、標準LDAPオブジェクトクラスinetorgpersonに設定されます。
例:
wls:/base_domain/serverConfig> setIdentityProfileUser('cn=users,dc=mycompany,dc=com','uid',['inetorgperson'])
User information for identity profile set successfully.
アイデンティティ・プロファイルのグループ情報を設定するには、setIdentityProfileGroupコマンドを使用します。
setIdentityProfileGroup(baseDN, groupNameAttribute, objectClassNames)
コマンドの説明は次のとおりです。
baseDN: グループまたはエンタープライズ・ロールの作成に使用するベースDN。たとえば、cn=group,dn=mycompany,dc=com.
groupNameAttribute: エンタープライズ・グループまたはロールの名前を一意に識別する属性。
objectClassNames: エンタープライズ・ロールまたはグループを識別するために使用するオブジェクトクラスのリスト。通常、このフィールドは、標準LDAP標準オブジェクトクラスgroupofuniquenamesに設定されます。Active Directoryでは、これはgroupです。
例:
wls:/base_domain/serverConfig> setIdentityProfileGroup('cn=group,dc=mycompany,dc=com','cn',['groupofuniquenames'])
Group information for identity profile set successfully.
commitRepositorySessionコマンドを使用して、セッションの現在の内容をMSASリポジトリに書き込みます。
例:
wls:/base_domain/serverConfig> commitRepositorySession()
create operation performed successfully on identity profile "identity-profile1" for instance "myinstance1".
また、セッション中にリポジトリに加えたすべての変更を破棄するabortRepositorySessionコマンドを使用することにより、すべての変更を取り消すことができます。
アイデンティティ・プロファイルをデフォルトとして設定するには、setMSASConfigurationコマンドを使用します。
|
注意: 実行時にこのアイデンティティ・プロファイルを使用するには、その前に、この手順を実行する必要があります。このコマンドの使用の詳細は、「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」を参照してください。 |
例:
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','IdentityProfile','name',None,['identity-profile1'])
The values "[identity-profile1]" have been added to property "name" within category "IdentityProfile".
Configuration properties associated with the MSAS instance "myinstance1" has been updated.
新しいアイデンティティ・ストア・プロファイルを使用するには、MSASサーバーを再起動する必要があります。
WLSTを使用してアイデンティティ・ストア・プロファイルを更新する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
リポジトリを変更するセッションを作成するために、beginRepositorySessionコマンドを使用します。すべての作成、変更または削除のコマンドは、セッションのコンテキストで実行する必要があります。セッションは、単一のドキュメントにのみ作用できます。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository Session begun.
displayIdentityProfileコマンドを使用して、インスタンスに構成されているアイデンティティ・プロファイル・ドキュメントをリストします。
displayIdentityProfile(instanceName, [profileName=None])
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルを表示するMSASインスタンスの名前。このフィールドは必須です。
profileName: 表示する特定のアイデンティティ・プロファイルの名前。このフィールドはオプションです。profileName引数に値が入力されていない場合、インスタンスに関連付けられているすべてのアイデンティティ・プロファイルが表示されます。
例:
wls:/base_domain/serverConfig> displayIdentityProfile('myinstance1')
Identity Profiles for instance "myinstance1":identity-profile1
アイデンティティ・プロファイルの内容を表示するには、displayIdentityProfileコマンドをprofileName引数とともに使用します。
例:
wls:/base_domain/serverConfig> displayIdentityProfile('myinstance1','identity-profile1')
Name : identity-profile1
Instance name : myinstance1
Description : Identity Profile 1
Directory Information:
Directory Type : OID
Bind DN : cn=host,dn=mycompany,dn=com
Base DN : cn=us,dn=mycompany,dn=com
Hosts : host1.mycompany.com:5335
SSL Enabled : false
User Information:
Base DN : cn=users,dc=mycompany,dc=com
Login ID Attribute : uid
Object class names : inetorgperson
Group Information:
Base DN : cn=group,dc=mycompany,dc=com
Group Name Attribute : cn
Object class names : groupofuniquenames
Commit session will be required to reflect the operation in the repository.
selectIdentityProfileコマンドを使用するには、更新するアイデンティティ・プロファイルを選択します。
selectIdentityProfile(instanceName, profileName)
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルを編集するMSASインスタンスの名前。このフィールドは必須です。
profileName: 編集するアイデンティティ・プロファイルの名前。
例:
wls:/base_domain/serverConfig> selectIdentityProfile('myinstance1','identity-profile')
Identity profile "identity-profile1" for instance "myinstance1" selected for modification.
プロファイル・ディレクトリを編集するには、たとえば、setIdentityProfileDirectoryコマンドを使用します。
setIdentityProfileDirectory(directoryType, hostport, bindDN, bindPass, baseDN, isSecure)
コマンドの説明は次のとおりです。
directoryType: アイデンティティ・プロファイルで使用するディレクトリのタイプ。サポートされている値は次のとおりです。
OID (Oracle Internet Directory)
OUD (Oracle Unified Directory)
ACTIVE_DIRECTORY
ODSEE (Oracle Directory Server Enterprise Edition)
WLS_LDAP (WebLogic Serverの組込みLDAP)
hostport: 選択されたディレクトリを実行しているサーバーのホスト名とポート。
bindDN: ディレクトリに接続するユーザーのDistinguishedName(DN)。
bindPass: ディレクトリに接続するためのバインドDNのパスワード。
baseDN: すべてのユーザーおよびグループがLDAPディレクトリにあるLDAP検索ベース。たとえば、cn=us, dn=mycompany, dc=com
isSecure: ディレクトリにSSL経由で接続するかどうかを示すフラグ(ブール値)。trueに設定されている場合、接続はSSL経由で構成されます。
たとえば、ディレクトリ・タイプをOIDからWLS_LDAPに変更するには、次のようにします。
wls:/base_domain/serverConfig> setIdentityProfileDirectory('WLS_LDAP',['host1.mycompany.com:5678'],'cn=host,dn=mycompany,dn=com','welcome','cn=us,dn=mycompany,dn=com',false)
Directory information for identity profile set successfully.
オブジェクトで、displayIdentityProfileコマンドをprofileName引数とともに使用して、アイデンティティ・プロファイルの内容を表示します。
|
注意: セッション内でこのコマンドを実行すると、セッション変更が表示されます。それをセッション外で実行すると、リポジトリの内容が表示されます。 |
例:
wls:/base_domain/serverConfig> displayIdentityProfile('myinstance1','identity-profile1')
Identity profile "identity-profile1" for instance "myinstance1" is selected for update operation in session.
Name : identity-profile1
Instance name : myinstance1
Description : Identity Profile 1
Directory Information:
Directory Type : WLS_LDAP
Bind DN : cn=host,dn=mycompany,dn=com
Base DN : cn=us,dn=mycompany,dn=com
Hosts : host1.mycompany.com:5678
SSL Enabled : false
User Information:
Base DN : cn=users,dc=mycompany,dc=com
Login ID Attribute : uid
Object class names : inetorgperson
Group Information:
Base DN : cn=group,dc=mycompany,dc=com
Group Name Attribute : cn
Object class names : groupofuniquenames
commitRepositorySessionコマンドを使用して、セッションの現在の内容をMSASリポジトリに書き込みます。
例:
wls:/base_domain/serverConfig> commitRepositorySession()
update operation performed successfully on identity profile "identity-profile1" for instance "myinstance1".
オプションで、setMSASConfigurationコマンドを使用して、更新されたアイデンティティ・プロファイルをデフォルトとして設定します。この手順は、デフォルト・プロファイルとして以前に設定されていない、更新されたアイデンティティ・プロファイルをデフォルトとして使用する場合のみ必要です。
例:
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','IdentityProfile','name',None,['identity-profile1'])
The values "[identity-profile1]" have been added to property "name" within category "IdentityProfile".
Configuration properties associated with the MSAS instance "myinstance1" has been updated.
MSASサーバーを再起動します。
WLSTを使用してアイデンティティ・プロファイルを削除する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
リポジトリを変更するセッションを作成するために、beginRepositorySessionコマンドを使用します。すべての作成、変更または削除のコマンドは、セッションのコンテキストで実行する必要があります。セッションは、単一のドキュメントにのみ作用できます。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository Session begun.
オプションで、displayIdentityProfileコマンドを使用して、インスタンスに構成されているアイデンティティ・プロファイル・ドキュメントをリストします。
displayIdentityProfile(instanceName, [profileName=None])
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルを表示するMSASインスタンスの名前。このフィールドは必須です。
profileName: 表示する特定のアイデンティティ・プロファイルの名前。このフィールドはオプションです。profileName引数に値が入力されていない場合、インスタンスに関連付けられているすべてのアイデンティティ・プロファイルが表示されます。
例:
wls:/base_domain/serverConfig> displayIdentityProfile('myinstance1')
Identity Profiles for instance "myinstance1":identity-profile1
deleteIdentityProfileコマンドを使用して、アイデンティティ・プロファイルを削除します。
deleteIdentityProfile(instanceName, profileName)
コマンドの説明は次のとおりです。
instanceName: アイデンティティ・プロファイルに関連付けられているMSASインスタンスの名前。このフィールドは必須です。
profileName: 削除するアイデンティティ・プロファイルの名前。
例:
wls:/base_domain/serverConfig> deleteIdentityProfile('myinstance1','identity-profile1')
Identity profile "identity-profile1" for instance "myinstance1" is successfully deleted in session.
Commit session will be required to reflect the operation in the repository.
commitRepositorySessionコマンドを使用して、セッションの現在の内容をMSASリポジトリに書き込みます。
例:
wls:/base_domain/serverConfig> commitRepositorySession()
delete operation performed successfully on identity profile "identity-profile1" for instance "myinstance1".
削除したアイデンティティ・プロファイルがインスタンスのデフォルト・プロファイルとして設定されていて、異なるプロファイルが利用できない場合、setMSASConfigurationコマンドを実行して、プロパティをクリアするか、異なるプロファイルをデフォルト・プロファイルとして設定する必要があります。
たとえば、プロパティをクリアするには、次のように入力します。
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','IdentityProfile','name',None, None)
Value elements removed from the property "name" within category "IdentityProfile".
The property "name" within category "IdentityProfile" has been removed.
Configuration properties associated with the MSAS instance "myinstance1" has been updated.
異なるプロファイルをデフォルトとして設定するには、次のように入力します。
wls:/base_domain/serverConfig> setMSASConfiguration('myinstance1','IdentityProfile','name',None,['identity-profile2'])
The values "[identity-profile2]" have been added to property "name" within category "IdentityProfile".
Configuration properties associated with the MSAS instance "myinstance1" has been updated.
MSASサーバーを再起動します。
信頼できるSAMLおよびJWT発行者とDNリストは、MSASリポジトリ内の信頼構成ドキュメントに格納されます。信頼できる発行者およびDNリストを構成するには、リポジトリ内に新しいドキュメントを作成するか、リポジトリ内の既存のドキュメントを編集する必要があります。
WLSTを使用してトークン発行者信頼ドキュメントを作成、変更および削除する場合、セッションのコンテキストでコマンドを実行する必要があります。各セッションは、単一の信頼ドキュメントにのみ適用されます。
信頼できる発行者とDNリストの詳細は、「署名証明書の信頼できる発行者とDNリストの構成」を参照してください。
次の項では、WLSTコマンドを対話モードで使用して信頼できる発行者とDNリストを定義する方法、トラスト・メタデータをインポートおよびエクスポートする方法、および信頼できる発行者の信頼を無効にする方法を説明します。
WLSTを使用してSAMLおよびJWTの信頼できる発行者およびDNリストを構成する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
リポジトリを変更するセッションを作成するために、beginRepositorySessionコマンドを使用します。すべての作成、変更または削除のコマンドは、セッションのコンテキストで実行する必要があります。セッションは、単一のドキュメントにのみ作用できます。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository session begun.
listWSMTokenIssuerTrustDocumentsコマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントをリストします。
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
引数を指定せずに使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがリストされます。detail引数をtrueに設定すると、ドキュメントの表示名およびステータスも表示されます。name引数では、どこでもワイルドカード文字「*」を使用できます。ワイルドカードを指定しない場合、name引数に入力された正確な値がドキュメント名として使用されます。
例:
wls:/base_domain/serverConfig> listWSMTokenIssuerTrustDocuments('true')
Starting Operation listWSMTokenIssuerTrustDocuments ...
There are no token issuer trust documents in the repository.
次のいずれかを行います:
ドメインのトークン発行者信頼ドキュメントが存在しない場合は、createWSMTokenIssuerTrustDocumentコマンドで作成します。name引数は必須です。
|
注意: このコマンドの実行後、createWSMTokenIssuerTrustDocumentコマンドの出力で指定されたプロパティを使用して、setMSASConfigurationコマンドを実行する必要があります。 |
createWSMTokenIssuerTrustDocument(name, displayName)
例:
wls:/base_domain/serverConfig> createWSMTokenIssuerTrustDocument('trust_t1') New Token Issuer Trust document named "trust_t1" created. To use the new document in the domain configuration, you must run the setConfiguration command where category = "TokenIssuerTrust", property name = "name" and value = "trust_t1". wls:/base_domain/serverConfig> setMSASConfiguration ('myinstance1','TokenIssuerTrust','name',None,['trust_t1']) The values "[trust_t1]" have been added to property "name" within category "TokenIssuerTrust". Configuration properties associated with the MSAS instance "myinstance1" has been updated.
ドメインのトークン発行者信頼ドキュメントが存在する場合は、変更するドキュメントをselectWSMTokenIssuerTrustDocumentコマンドで選択します。name引数は必須です。
selectWSMTokenIssuerTrustDocument(name)
例:
wls:/base_domain/serverConfig> selectWSMTokenIssuerTrustDocument('trust_t1')
Token Issuer Trust document named "trust_t1" selected in the session.
必要に応じて、ドキュメントの表示名をsetWSMTokenIssuerTrustDisplayNameコマンドで指定します。表示名はオプションですが、ドキュメントの説明に役立ちます。ドキュメントの作成時に表示名を指定した場合、必要に応じて、このコマンドで表示名を変更できます。
setWSMTokenIssuerTrustDisplayName(displayName)
例:
wls:/base_domain/serverConfig> setWSMTokenIssuerTrustDisplayName('myinstance1 Trust Document')
Starting Operation setWSMTokenIssuerTrustDisplayName ...
Display Name of the document changed from null to myinstance1 Trust Document.
setWSMTokenIssuerTrustコマンドを使用して、信頼できる発行者を追加し、信頼できるキーまたは信頼できるDNリストを定義します。
setWSMTokenIssuerTrust(type, issuer, [trustedKeyIds=None])
コマンドの説明は次のとおりです。
type: 発行者が発行したトークンのタイプと、trustedKeyIdsで発行者署名証明書を識別する方法。サポートされるタイプ値を次の表に示します。
| このタイプ値の場合... | このトークン・タイプの場合... | このキー・タイプの場合... | キー識別タイプ |
|---|---|---|---|
dns.sv |
SAML SV | X509証明書 | DN |
dns.hok |
SAML HOKまたはベアラー | X509証明書 | DN |
dns.jwt |
JWT | X509証明書 | DN |
issuer: 信頼できる発行者の名前(www.oracle.comなど)。
trustedKeyIds: 信頼できるキー識別子、つまり発行者のDNリストを指定するときに使用するオプションの引数。
このコマンドは次のように動作します。
指定されたタイプの信頼できる発行者がすでに存在し、trustedKeyIds引数にDNまたは別名のリストを指定した場合、以前のリストが新しいリストで置き換えられます。trustedKeyIds引数に空集合([])を入力すると、発行者のDN値のリストが削除されます。
指定されたタイプに対して信頼できる発行者が存在しない場合、trustedKeyIds引数に値を指定すると、関連するDNリストで発行者が作成されます。trustedKeyIds引数を設定しない場合は、空のDNリストで新しい発行者が作成されます。
次の例では、www.yourcompany.comが信頼できる発行者として設定されます。DNリストは指定されていません。
wls:/base_domain/serverConfig> setWSMTokenIssuerTrust("dns.jwt","www.yourcompany.com",[])
Starting Operation setWSMTokenIssuerTrust ...
JWT trusted issuers successfully set
次の例では、CN=weblogic, OU=Orakey , O=Oracle, C=US'およびCN=orcladmin, OU=Doc, O=Oracle, C=US'が、信頼できるJWT発行者www.yourcompany.comのDNリストdns.jwtにDNとして設定されます。
wls:/base_domain/serverConfig> setWSMTokenIssuerTrust('dns.jwt','www.yourcompany.com', ['CN=weblogic, OU=Orakey, O=Oracle', 'CN=orcladmin, OU=Doc, O=Oracle, C=US']) Starting Operation setWSMTokenIssuerTrust ... JWT trusted issuers successfully set
displayWSMTokenIssuerTrustコマンドを使用して、信頼できる発行者およびDNリストを表示します。
displayWSMTokenIssuerTrust(type, issuer=None)
type引数とissuer引数の値を指定すると、発行者のDNリストが表示されます。発行者名を指定しないと、指定されたタイプのすべての信頼できる発行者がリストされます。
たとえば、信頼できる発行者www.yourcompany.comのDNリストを表示する手順は、次のとおりです。
wls:/base_domain/serverConfig> displayWSMTokenIssuerTrust('dns.jwt', 'www.yourcompany.com')
Starting Operation displayWSMTokenIssuerTrust ...
CN=weblogic, OU=Orakey, O=Oracle
CN=orcladmin, OU=Doc, O=Oracle, C=US
タイプdns.jwtのすべての信頼できる発行者を表示する手順は、次のとおりです。
wls:/base_domain/serverConfig> displayWSMTokenIssuerTrust('dns.jwt')
Starting Operation displayWSMTokenIssuerTrust ...
www.yourcompany.com
www.oracle.com
commitRepositorySessionコマンドを使用して、OWSMリポジトリに対して、このセッションのコンテンツの書込みを行います。
例:
wls:/base_domain/serverConfig> commitRepositorySession()
The tokenissuertrust trust_t1 is valid.
Creating tokenissuertrust trust_t1 in repository.
Repository session committed successfully.
また、セッション中にリポジトリに加えたすべての変更を破棄するabortRepositorySessionコマンドを使用することにより、すべての変更を取り消すことができます。
これらのコマンドの詳細は、Identity and Access Management WebLogic Scripting Toolコマンド・リファレンスの、トークン発行者信頼構成コマンドに関する項を参照してください。
deleteWSMTokenIssuerTrustコマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントから、信頼できる発行者を削除できます。発行者は、セッションで選択されたトークン発行者信頼ドキュメントに存在している必要があります。
信頼できる発行者を削除する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository session begun.
listWSMTokenIssuerTrustDocumentsコマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントをリストします。
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
引数を指定せずに使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがリストされます。detail引数をtrueに設定すると、ドキュメントの表示名およびステータスも表示されます。
例:
wls:/base_domain/serverConfig> listWSMTokenIssuerTrustDocuments(detail='true')
Name : oracle-default
Display Name : Token Issuer Trust Properties
Status : DOCUMENT_STATUS_COMMITED
Name : trust_t1
Display Name : myinstance1 Trust Document
Status : DOCUMENT_STATUS_COMMITED
selectWSMTokenIssuerTrustDocumentコマンドを使用して、削除する信頼できる発行者を含むドキュメントを、変更対象として選択します。name引数は必須です。
selectWSMTokenIssuerTrustDocument(name)
例:
wls:/base_domain/serverConfig> selectWSMTokenIssuerTrustDocument('trust_t1')
Token Issuer Trust document named "trust_t1" selected in the session.
オプションで、displayWSMTokenIssuerTrustコマンドを使用して、信頼ドキュメントで定義された、信頼できる発行者を表示します。
displayWSMTokenIssuerTrust(type, issuer=None)
たとえば、JWTトークン・タイプの信頼できる発行者を表示するには、次のようにします。
wls:/base_domain/serverConfig> displayWSMTokenIssuerTrust('dns.jwt')
Starting Operation displayWSMTokenIssuerTrust ...
www.yourcompany.com
www.oracle.com
deleteWSMTokenIssuerTrustコマンドを使用して、目的のトークン発行者と、それに関連付けられたDNリスト(該当する場合)を削除します。
deleteWSMTokenIssuerTrust(type, issuer)
たとえば、JWTトークン・タイプの信頼できるwww.yourcompany.com発行者を削除するには、次のようにします。
wls:/base_domain/serverConfig> deleteWSMTokenIssuerTrust('dns.jwt','www.yourcompany.com')
Starting Operation deleteWSMTokenIssuerTrust ...
JWT trusted issuers deleted successfully.
commitRepositorySessionコマンドを使用して、リポジトリに対して、現在のセッションのコンテンツの書込みを行います。
wls:/base_domain/serverConfig> commitRepositorySession()
Repository session committed successfully.
また、セッション中にリポジトリに加えたすべての変更を破棄するabortRepositorySessionコマンドを使用することにより、すべての変更を取り消すことができます。
トークン発行者信頼ドキュメントをリポジトリから削除するには:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
beginRepositorySessionコマンドを使用してリポジトリ・セッションを開始します。
例:
wls:/base_domain/serverConfig> beginRepositorySession()
Repository session begun.
listWSMTokenIssuerTrustDocumentsコマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントをリストします。
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
引数を指定せずに使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがリストされます。detail引数をtrueに設定すると、ドキュメントの表示名およびステータスも表示されます。
例:
wls:/base_domain/serverConfig> listWSMTokenIssuerTrustDocuments(detail='true')
Name : oracle-default
Display Name : Token Issuer Trust Properties
Status : DOCUMENT_STATUS_COMMITED
Name : trust_t1
Display Name : myinstance1 Trust Document
Status : DOCUMENT_STATUS_COMMITED
deleteWSMTokenIssuerTrustDocumentコマンドを使用して、目的のトークン発行者信頼ドキュメントを削除します。name引数は必須です。
deleteWSMTokenIssuerTrustDocument(name)
例:
wls:/base_domain/serverConfig> deleteWSMTokenIssuerTrustDocument('trust_t1')
Token Issuer Trust document named "trust_t1" deleted from the repository.
commitRepositorySessionコマンドを使用して、リポジトリに対して、現在のセッションのコンテンツの書込みを行います。
wls:/base_domain/serverConfig> commitRepositorySession()
Deleting tokenissuertrust trust_t1 from repository.
Repository session committed successfully.
また、セッション中にリポジトリに加えたすべての変更を破棄するabortRepositorySessionコマンドを使用することにより、すべての変更を取り消すことができます。
exportWSMTokenIssuerTrustMetadataおよびimportWSMTokenIssuerTrustMetadataコマンドを使用して、システム間で、信頼構成(発行者、DN、トークン属性ルール)をエクスポートおよびインポートできます。これらのコマンドは、セッション内で実行する必要はありません。
信頼構成をエクスポートする場合、指定する場所のXMLファイルにエクスポートされます。信頼できる発行者をすべてエクスポートすることも、特定の発行者を除外することもできます。これでファイルを別のシステムへコピーして、XMLファイルから信頼メタデータをインポートすることができます。
信頼構成のエクスポート
信頼メタデータをエクスポートするには、exportWSMTokenIssuerTrustMetadataコマンドを使用します。
exportWSMTokenIssuerTrustMetadata(trustFile,excludeIssuers=None)
コマンドの説明は次のとおりです。
trustFile: エクスポートされたメタデータが格納されるXMLファイルの場所。
excludeIssuers: 信頼メタデータをエクスポートしない発行者のリストを指定するために使用する、オプションの引数。
たとえば、信頼メタデータをエクスポートして、www.oracle.comを除外するには、次のコマンドを使用します。
wls:/base_domain/serverConfig> exportWSMTokenIssuerTrustMetadata('/tmp/trustData.xml',['www.oracle.com'])
Starting Operation exportWSMTokenIssuerTrustMetadata ...
Configuration for trusted issuers successfully exported.
信頼構成のインポート
すべての信頼できる発行者の信頼メタデータをインポートするには、importWSMTokenIssuerTrustMetadataコマンドを使用します。
importWSMTokenIssuerTrustMetadata(trustFile)
コマンドの説明は次のとおりです。
trustFile: メタデータのインポート元のXMLファイルの場所。
たとえば、ファイル/tmp/trustData.xmlから信頼メタデータをインポートするには、次のコマンドを使用します。
wls:/base_domain/serverConfig> importWSMTokenIssuerTrustMetadata('/tmp/trustData.xml')
Starting Operation importWSMTokenIssuerTrustMetadata ...
Configuration for trusted issuers successfully imported.
revokeWSMTokenIssuerTrust WLSTコマンドを使用して、すべての信頼できる発行者および関連する構成(DNおよびトークン属性ルール)を削除して信頼を無効化できます。信頼できる発行者をすべて削除することも、excludeIssuers引数を使用して、削除対象リストから除外する特定の発行者を指定することもできます。引数が渡されない場合、すべての信頼できる発行者と、関連付けられている構成が削除されます。
revokeWSMTokenIssuerTrust(excludeIssuers=None)
たとえば、www.oracle.com以外のすべての発行者の信頼を無効にするには、次のコマンドを使用します。
wls:/base_domain/serverConfig> revokeWSMTokenIssuerTrust(['www.oracle.com']) Starting Operation revokeWSMTokenIssuerTrust ... Configuration for trusted issuers successfully removed.
WLSTコマンドを使用して、MSASキーストアや、クロック・スキュー、期限切れ時間などのメッセージ・セキュリティ設定を構成できます。この構成については、次の項で説明します。
キーストア・サービスでは、キーストアの作成と管理、証明書のエクスポート、鍵ペアの生成などのキーストア操作に、専用のコマンドラインのコマンド・セットを使用します。これらのコマンドの使用方法は似ていますが、他のWLSTコマンドとは異なります。これらのコマンドと使用方法についての詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の、「キーストア・サービス・コマンドについて」にあります。
キーストア・サービス・コマンドを使用する前に、getOpssServiceコマンドを実行して、コマンドの実行やヘルプの取得を可能にするOPSSサービス・コマンド・オブジェクトを取得する必要があります。
次の手順は、キーストア・コマンドを実行してMSASキーストアを管理する方法を記述しています。
「MSAS WLSTコマンドへのアクセス」の説明に従って、実行中のサーバーに接続します。
getOpssServiceコマンドを実行して、キーストア・サービス・コマンドにアクセスします。
wls:/base_domain/serverConfig>svc = getOpssService(name='KeyStoreService')
オプションで、ヘルプ・コマンドsvc.helpを実行して、利用できるコマンドのリストや、特定のコマンドに関するヘルプを取得します。利用できるコマンドのリストを取得するには、svc.help()を使用します。特定のコマンドに関するヘルプを取得するには、コマンド名を引数に指定します。たとえば、createKeyStoreコマンドに関するヘルプを取得するには、次のように入力します。
wls:/base_domain/serverConfig> svc.help('createKeyStore')
Description:
Creates a new keystore.
Syntax:
svc.createKeyStore(appStripe='<stripe>', name='<keystore>', password='<password>',permission=true|false)
svc=the service command object obtained through a call to getOpssService()
appStripe= the name of the stripe in which keystore is created.
name= the name of the keystore.
password= Password of the keystore.
permission= true if keystore is protected by permission only, false if protected by both permission and password.
Example: svc.createKeyStore(appStripe='system', name='keystore1', password='<password>', permission=true)
createKeystoreコマンドを使用して新しいキーストアを作成します。
|
注意: MSASキーストアは、configMSASスクリプトを使用してMSASインスタンスを作成するとき、またはMSASコンソールで論理インスタンスを登録するときに自動的に作成されます。このコマンドは、インスタンスを作成または登録する前にキーストアを作成する場合にのみ、実行する必要があります。 |
wls:/base_domain/serverConfig> svc.createKeyStore(appStripe='mynewinstance',name='keystore',password='',permission=true)
Already in Domain Runtime Tree
Keystore created
鍵ペアを生成するには、generateKeyPairコマンドを使用します。
svc.generateKeyPair(appStripe='<stripe>', name='<keystore>', password='<password>', dn='<distinguishedname>', keysize='<keysize>', alias='<alias>', keypassword='<keypassword>')
例:
wls:/base_domain/serverConfig> svc.generateKeyPair(appStripe='mynewinstance',name='keystore',password='',dn='cn=orakey',keysize='1024',alias='orakey',keypassword='')
Already in Domain Runtime Tree
Key pair generated
オプションで、listKeyStoresコマンドを使用して、すべてのインスタンスの環境に対して構成されているキーストアをリストします。
wls:/base_domain/serverConfig> svc.listKeyStores(appStripe='*')
Already in Domain Runtime Tree
system/trust
system/castore
myinstance1/keystore
mynewinstance/keystore
既存のJKSキーストアをKSSキーストアにインポートするには、importKeyStoreコマンドを使用します。
svc.importKeyStore(appStripe='<stripe>', name='<keystore>', password='<password>', aliases='<comma-separated-aliases>', keypasswords='<comma-separated-keypasswords>', type='<keystore-type>', permission=true|false, filepath='<absolute_file_path>')
例:
wls:/base_domain/serverConfig> svc.importKeyStore(appStripe='mynewinstance',name='keystore',password='',aliases='orakey',keypasswords='orakey',type='JKS', permission=true,filepath='/path/default-keystore.jks')
Already in Domain Runtime Tree
Keystore imported. Check the logs if any entry was skipped.
MSASインスタンスを作成すると、MSASインスタンス名をストライプ名として使用して、デフォルトでMSAS署名鍵ストアが作成されます(たとえばkss://myinstance/keystore)。必要な証明書と鍵もインポートされます。このKSSキーストアがインスタンス・レベルで定義されているため、署名および暗号化鍵はインスタンス内のすべてのアプリケーションに適用されます。
「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、setMSASConfigurationコマンドを使用して、MSASキーストアの暗号化と署名鍵を構成できます。
表6-2に、暗号および署名鍵に設定できるキーストア・プロパティをリストします。
表6-2 MSASインスタンスのMSASキーストア構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
KeystoreConfig |
keystore.enc.csf.key |
N/A |
メッセージの暗号化および復号化に使用する鍵の別名。 |
|
KeystoreConfig |
keystore.sig.csf.key |
N/A |
署名鍵をキーストアに格納するために使用する鍵の別名。 |
|
KeystoreConfig |
keystore.pass.csf.key |
N/A |
将来の使用のために予約されています。 |
|
KeystoreConfig |
keystore.csf.map |
N/A |
MSASキーストアの特定の資格証明を見つけるために使用するCSFのマップ。このプロパティは変更しないでください。 |
|
KeystoreConfig |
keystore.type |
N/A |
この値は、MSASインスタンスがモバイル・セキュリティ・マネージャに登録されるときに構成されるもので、変更しないでください。 |
|
KeystoreConfig |
location |
N/A |
KSSキーストアの場所: kss:// |
セキュリティ設定を構成するには、「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、setMSASConfigurationコマンドを使用します。
表6-3に、セキュリティ・ポリシー強制に設定できるMSASインスタンス・レベル構成プロパティをリストします。
表6-3 MSASインスタンスのセキュリティ・ポリシー強制構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
Agent |
client.clock.skew |
0 |
SAMLおよびJWTトークン生成の |
|
Agent |
clock.skew |
360000 |
クライアント・マシンとサーバー・マシンの間での時間差の許容範囲。たとえば、メッセージのタイムスタンプがタイムゾーンの異なるサービスに送信された場合に、このプロパティで指定された許容時間が許容されます。 このプロパティの詳細は、「セキュリティ設定の構成」の「クロック・スキュー」プロパティに関する説明を参照してください。 |
|
Agent |
expire.time |
300000 |
メッセージが作成されてから期限切れになるまでの時間。このプロパティは、タイムスタンプがトークンで送信される場合に、タイプスタンプが期限切れかどうかを検証するために使用されます。 このプロパティの詳細は、「セキュリティ設定の構成」の「メッセージ期限切れ時間」プロパティに関する説明を参照してください。 |
|
Agent |
compliance.check |
true |
将来の使用のために予約されています。 |
|
Agent |
nonce.ttl |
28800000 |
将来の使用のために予約されています。 |
|
Agent |
allow.all.xpaths |
false |
将来の使用のために予約されています。 |
|
Agent |
use.unified.fault.code |
true |
将来の使用のために予約されています。 |
キャッシュ管理を構成するには、「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、setMSASConfigurationコマンドを使用します。
表6-4に、ポリシー・キャッシュを構成するために設定できるMSASインスタンス・レベルの構成プロパティをリストします。
表6-4 MSASインスタンスのキャッシュ管理構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
BeanAccessor |
cache.refresh.repeat |
86400000 |
次のキャッシュ・リフレッシュまでの待機時間(ミリ秒数)。 |
|
BeanAccessor |
cache.refresh.initial |
600000 |
将来の使用のために予約されています。 |
|
BeanAccessor |
failure.retry.count |
2 |
将来の使用のために予約されています。 |
|
BeanAccessor |
cache.refresh.batch.size |
10 |
将来の使用のために予約されています。 |
|
BeanAccessor |
failure.retry.delay |
5000 |
将来の使用のために予約されています。 |
|
BeanAccessor |
missing.retry.delay |
15000 |
将来の使用のために予約されています。 |
|
BeanAccessor |
usage.record.delay |
30000 |
将来の使用のために予約されています。 |
「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、setMSASConfigurationコマンドを使用して、初期認証に使用する認証エンドポイントを構成できます。
次以降の項では、様々な認証エンドポイントの構成プロパティについて説明します。
表6-5に、MSASインスタンスのKINITおよびPKINIT認証を構成するために設定できる構成プロパティをリストします。
表6-5 MSASインスタンスのKINIT/PKINIT構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
Krb5Configuration |
default_realm |
N/A |
デフォルト・レルムとして使用するレルムの名前。 |
|
Krb5Configuration |
default_tkt_enctypes |
N/A |
初期認証リクエスト時にクライアントが使用するセッション鍵暗号化タイプ(AS-REQ)。サポートされているタイプのリストは、MIT Kerberosドキュメントの「Encryption types」(暗号化タイプ、 |
|
Krb5Configuration |
default_tgs_enctypes |
N/A |
TGSからサービスチケットをリクエストするときにクライアントが使用するセッション鍵暗号化タイプ(TGS_REQ)。サポートされているタイプのリストは、MIT Kerberosドキュメントの「Encryption types」(暗号化タイプ、 |
|
Krb5Configuration |
pkinit_anchors |
N/A |
クライアント証明書の信頼を評価するときにKDCが使用するトラスト・アンカー。
|
|
Krb5Configuration |
pkinit_anchors_file |
N/A |
内部使用に予約されています。 |
|
Krb5Configuration |
logging.krb5 |
N/A |
Kerberos構成メッセージのログの場所。有効なオプションは、STDERR、またはログ・ファイル名とパスです。 |
|
Krb5Configuration |
logging.kcm |
N/A |
KCM構成メッセージのログの場所。有効なオプションは、STDERR、またはログ・ファイル名とパスです。 |
|
Krb5Configuration |
realms.kdc |
N/A |
Kerberosレルムの名前。レルム名は、Active Directoryの設定時に定義されたREALM名と一致する必要があります。 |
|
Krb5Configuration |
realms.default_domain |
N/A |
レルムのデフォルト・ドメイン。通常、ドメイン名は |
|
Krb5Configuration |
domain |
N/A |
DNSドメイン名。 |
表6-6に、MSASインスタンスのOAuth2機密クライアント認証を構成するために設定できる構成プロパティをリストします。
表6-7に、MSASインスタンスのOAuth2モバイル・クライアント認証を構成するために設定できる構成プロパティをリストします。
表6-7に、PKI Cryptoサービスのキー・ロールオーバー機能をMSASインスタンス用に構成するために設定できる構成プロパティをリストします。
表6-8 MSASインスタンスのCryptoサービス構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
CryptoServiceConfiguration |
archive.key.aliases |
N/A |
キー・ロールオーバー機能が使用するためにアーカイブされた秘密鍵を含むキーストアの別名。未設定のままの場合、キー・ロールオーバー・サポート機能は有効ではありません。このフィールドに別名を入力すると、キー・ロールオーバーが有効になり、指定された別名は、ロールオーバー機能が使用する別名のリストに追加されます。指定の暗号文の復号化がすべてのアーカイブ済秘密鍵で失敗しないかぎり、cryptoサービスは復号化エラーを戻しません。 |
「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、WLST setMSASConfigurationコマンドを使用してシステム設定(アウトバウンド・メッセージ設定、プロキシ・サーバー、ロード・バランシングとSSLなど)を構成できます。
次以降の項では、様々なシステム設定に設定できる構成プロパティについて説明します。
表6-9に、アウトバウンド・メッセージ設定をMSASインスタンス用に構成するために設定できる構成プロパティをリストします。
表6-9 MSASインスタンスのアウトバウンド・メッセージ設定プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
ClientConfiguration |
max.connection.pool.per.host |
25 |
クライアントが処理できる、プール内のホスト当たりの最大接続数。 |
|
ClientConfiguration |
max.connection.pool.total |
512 |
クライアントが処理できるプール内の接続の最大数。 |
|
ClientConfiguration |
idle.connection.pool.timeout |
180000 |
クライアントがプール内のアイドル接続を保持する最大時間(単位はミリ秒)。 |
|
ClientConfiguration |
connection.timeout |
20000 |
バックエンド・ホストへの接続時にクライアントが待機できる最大時間(ミリ秒)。 |
|
ClientConfiguration |
request.timeout |
60000 |
クライアントがレスポンスを待機できる最大時間(ミリ秒)。 |
|
ClientConfiguration |
request.longtimeout |
1200000 |
クライアントがレスポンスを待機できる最大時間(ミリ秒)。 |
|
ClientConfiguration |
max.request.retry |
5 |
ネットワーク例外のためにエラーが発生するまでリクエストが再試行される回数。 |
|
ClientConfiguration |
ssl.security.level |
loose |
バックエンド・リソースへのアウトバウンド・コールのSSLセキュリティ・レベル。詳細は、「MSASとバックエンド・リソースの間のSSLの構成」を参照してください。 |
表6-10に、バックエンド・アプリケーションおよびサービスのMSAS経由のインターネットに対するアウトバウンド・コールに使用されるプロキシ・サーバーを構成するために設定できる構成プロパティをリストします。
表6-10 MSASインスタンスのプロキシ・サーバー構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
ProxyServer |
name |
N/A |
それを一意に識別するプロキシ・サーバーの名前。 |
|
ProxyServer |
host |
N/A |
プロキシ・サーバーのホスト名。 |
|
ProxyServer |
port |
N/A |
プロキシ・サーバーのポート番号。 |
|
ProxyServer |
csf.key |
N/A |
プロキシ・サーバーへの認証の資格証明を持つCSFキーの名前。このプロパティは省略可能です。 |
|
ProxyServer |
non.proxy.hosts |
localhost 127.0.0.1 |
プロキシ・サーバーを使用しないホストのリスト。アスタリスク*のワイルドカードをサポートしますが、サフィックスおよびプレフィックスのみです。 |
表6-11に、ロード・バランシングURLやサービス・プリンシパル名マッピングなど、サーバーを構成するためにMSASインスタンスに設定できる構成プロパティをリストします。
表6-11 MSASインスタンスのサーバー構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
ServerSettings |
spn.mapping |
N/A |
サービス・プリンシパル名とともにURLをマップします。サービス・プリンシパル名は、NTLMおよびSPNEGOに必要です。URLは「*」を使用するワイルドカードをサポートしており、URLのどこにでも使用できます(たとえば、 |
|
ServerSettings |
lbr.url |
N/A |
フロント・エンドのロード・バランサの非SSL URL(たとえば |
|
ServerSettings |
lbr.ssl.url |
N/A |
フロント・エンドのロード・バランサのSSL URL(たとえば |
表6-12に、MSASインスタンスのSSLキーストアとトラストストアの場所を指定するために設定できる構成プロパティをリストします。
表6-12 MSASインスタンスのSSL構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
ServerSettings |
ssl.truststore.location |
N/A |
SSLトラストストアの場所。サポートされているのはKSSキーストア・タイプのみであるため、値はKSS URIにする必要があります。 |
|
ServerSettings |
ssl.keystore.location |
N/A |
MSASへのインバウンドSSL接続のため、およびMSASアイデンティティ・キーストアとして、使用されるSSLキーストアの場所。サポートされているのはKSSキーストア・タイプのみであるため、値はKSS URIにする必要があります。 |
表6-12に、MSASインスタンスのアクセス・ログを有効または無効にするために設定できる構成プロパティをリストします。
表6-13 MSASインスタンスのSSL構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
ServerSettings |
access.log.enabled |
|
MSASサーバーのアクセス・ログを有効または無効にします。デフォルトで、このプロパティは有効です。アクセス・ログの詳細は、「MSASアクセス・ログの構成」を参照してください。 |
|
ServerSettings |
access.log.format |
N/A |
将来の使用のために予約されています。 |
デフォルトで、セッション・トークン(SToken)の有効期間は34800000ミリ秒(約9.6時間)に設定されています。「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従い、setMSASConfiguration WLSTコマンドを、CategoryNameをMSASConfig、propertyNameをstoken.expiry.timeとして使用して、SToken期限切れ時間を調整できます。
たとえば、SToken期限切れ時間を5分に変更するには、次のコマンドを使用します。
setMSASConfiguration('myinstance1','MSASConfig', 'stoken.expiry.time', None, ['300000'])
次の点に注意してください。
STokenの実際の期限切れは、期限切れ時間とスキュー時間で決まります。
構成するSToken期限切れ時間は、KINIT/PKINIT SToken以外のいずれかのトークンによって設定された最大期限切れ時間を上回ることができません。
KINIT/PKINIT SToken最大限期限切れ時間の制限を、デフォルト期限切れ時間として設定できます。
ハートビートは、MSASインスタンスが正常に実行され、ハートビート・ポーリング・リクエスト(信頼できるUDPプロトコル)に反応しているかどうかを確認するために使用されるプロセスです。これは、1つ以上のMSASインスタンスをホスティングしている各マシン上で実行される、スタンドアロンのプロセスです。デフォルトで、MSASインスタンスが無反応か、なんらかの理由でハートビート・リクエストに応答しない場合、ハートビート・プロセスはそのターゲット・インスタンスを再起動しようとします。
ハートビート・プロセスは、完全にバックグラウンドで動作します。最初のMSASインスタンスがホスト・マシン上で開始されると、ハートビート・プロセスが自動的に開始され、ポーリング・メッセージを送信できるようにMSASインスタンスを登録します。追加のインスタンスがそのマシン上で開始されると、同じハートビート・プロセスに登録されます。ポーリングおよび再起動動作は、各マシン上のインスタンスごとに実行されます。個別のインスタンスが停止されると(stopServer.sh)、ハートビート・プロセスは、そのインスタンスをそのポーリング・グループから登録解除します。マシン上のすべてのインスタンスが停止されると、ハートビート・プロセスは終了します。
ハートビート・プロセスは、構成により駆動されます。ハートビート構成プロパティはすべて、モバイル・セキュリティ・マネージャ(MSM)によって論理インスタンス・レベルで管理されます。MSASハートビートは、「setMSASConfiguration WLSTコマンドを使用したMSASインスタンスの構成」の説明に従って、setMSASConfiguration WLSTコマンドを使用して構成します。
モバイル・セキュリティ・マネージャは、ハートビート構成を更新する前にインストールし、実行してください。表6-14に、MSASハートビートを構成するために設定できる構成プロパティをリストします。
表6-14 MSASインスタンスのハートビート構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
MSASConfig |
heartbeat.enabled |
true |
ハートビート機能を有効または無効にするために使用するフラグ。 |
|
MSASConfig |
heartbeat.restartEnabled |
true |
障害の数がしきい値( |
|
MSASConfig |
heartbeat.port |
7777 |
MSASインスタンスとMSASレスポンスを登録するためのローカル・リスニング・ポート。 |
|
MSASConfig |
heartbeat.frequency |
5 |
ハートビート・リクエストを送信する頻度(単位は秒)。 |
|
MSASConfig |
heartbeat.maxRetry |
5 |
MSASインスタンスからレスポンスがない場合の最大再試行数。 |
|
MSASConfig |
heartbeat.logFileName |
heartbeat.log |
ハートビート・プロセスのログ・ファイル名。ハートビート・ログ・ファイルは、次のディレクトリに作成されます。
|
|
MSASConfig |
heartbeat.logLevel |
20 |
ハートビートのログ・レベル。20(大まかなロギング)に設定された場合、MSAS登録/登録解除や、再起動されるターゲット・インスタンスなどのメッセージだけが記録されます。デバッグ目的の、よりファイングレインなロギングには、この値を10に設定します。この場合、すべてのハートビート・メッセージが記録されます。 |
表6-15に、setMSASConfigurationコマンドを使用して設定できる追加のサーバー設定の構成プロパティをリストします。
表6-15 追加サーバー設定の構成プロパティ
| カテゴリ | プロパティ名 | デフォルト | 説明 |
|---|---|---|---|
|
MSASConfig |
msm.csf-key |
N/A |
内部使用に予約されています。 |
|
MSASConfig |
msm.url |
N/A |
内部使用に予約されています。 |
|
MSASConfig |
msas.id |
N/A |
内部使用に予約されています。 |
|
MSASConfig |
sync.interval |
60000 |
サーバーが同期イベントを確認する最大時間(単位はミリ秒)。同期イベントは、MSASコンソールで、MSASインスタンスに対応する「同期化」ボタンがクリックされたときに生成されます。「同期化」ボタンの使用の詳細は、「MSASインスタンス構成の同期」を参照してください。 |
|
MSASConfig |
server.workerThread.corePoolSize |
8 |
コア・スレッド・プール・サイズ。 |
|
MSASConfig |
server.workerThread.maxPoolSize |
1024 |
最大スレッド・プール・サイズ。 |
|
MSASConfig |
server.keepAlive |
true |
HTTP接続のキープ・アライブ。 |
|
MSASConfig |
server.readBufferSize |
40960 |
HTTP接続の読取りバッファ・サイズ(単位はバイト)。 |
|
MSASConfig |
server.writeBufferSize |
16384 |
HTTP接続の書込みバッファ・サイズ(単位はバイト)。 |
|
MSASConfig |
server.connectionTimeout |
16384 |
サーバー接続時のタイムアウト(単位はミリ秒)。リクエストは、接続エラーでタイムアウトする前に、ここで指定した時間だけ待機します。 |
|
MSASConfig |
server.socketTimeout |
180000 |
サーバー・ソケット待機時間のタイムアウト(単位はミリ秒)。 |
|
MSASConfig |
server.writeTimeout |
180000 |
サーバーがクライアントにライトバックする場合の書込みタイムアウト(単位はミリ秒)。遅いクライアントがある場合は増やしますが、増やしすぎると接続に影響を及ぼします。 |
|
MSASConfig |
server.connectionBacklog |
4096 |
バックログ内に存在可能な接続の数。 |
|
MSASConfig |
server.clientSocketTimeout |
180000 |
クライアント・ソケット待機時間のタイムアウト(単位はミリ秒)。 |
|
MSASConfig |
server.http.maxRequestHeaderSize |
32768 |
最大リクエスト・ヘッダー・サイズ(単位はバイト)。 |
|
MSASConfig |
security.clientAuthenticationRequired |
NO |
クライアント認証を必須にする。有効な値:
|
|
MSASConfig |
security.keystoreAlias |
msasidentity |
キーストア別名。 |
WLSTコマンドを使用して、資格証明ストアの資格証明を作成、更新および削除できます。
WLSTコマンドを使用して、資格証明ストアを構成する手順:
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
資格証明ストアで資格証明を作成するには、createCredコマンドを使用します。
createCred(map="<mapname>", key="<keyname>", user="<userName>", password="<password>",[desc="<description>"])
コマンドの説明は次のとおりです。
map: 資格証明ストアのマップ名またはフォルダを指定します。MSASの場合、これはMSASインスタンス名です。このフィールドは必須です。
key: キー名を指定します。
user: 資格証明ユーザー名を指定します。
password: 資格証明のパスワードを指定します。
description: 資格証明の説明。この引数はオプションです。
例:
wls:/base_domain/serverConfig> createCred('myinstance1','key','demoUser','demoPassword')
資格証明ストアで資格証明を更新するには、updateCredコマンドを使用します。
updateCred(map="<mapname>", key="<keyname>", user="<userName>", password="<password>", desc="<description>")
コマンドの説明は次のとおりです。
map: 資格証明ストアのマップ名またはフォルダを指定します。MSASの場合、これはMSASインスタンス名です。このフィールドは必須です。
key: キー名を指定します。
user: 資格証明ユーザー名を指定します。
password: 資格証明のパスワードを指定します。
description: 資格証明の説明。この引数はオプションです。
例:
wls:/base_domain/serverConfig> updateCred('myinstance1','demoKey','demoUser','newPassword')
資格証明ストアから資格証明を削除するには、deleteCredコマンドを使用します。
deleteCred(map="<mapname>", key="<keyname>")
コマンドの説明は次のとおりです。
map: 資格証明ストアのマップまたはフォルダを指定します。MSASの場合、これはMSASインスタンス名です。
key: キー名を指定します。
たとえば、マップ名がmyinstance1、キー名がdemoKeyの資格証明を削除するには、次のようにします。
wls:/base_domain/serverConfig> deleteCred('myinstance1','demoKey')
これらのコマンドの詳細は、次のトピックを参照してください。
Oracle Platform Security Servicesによるアプリケーションの保護の資格証明ストアの管理に関する項
Identity and Access Management WebLogic Scripting Toolコマンド・リファレンスの、セキュリティ・コマンドに関する項
MSASコンソール・ページを使用してKerberos krb5.confファイルのプロパティを構成して、KINITとPKINIT認証を有効化できます。Kerberosレルムの追加、編集、削除、DNSドメインの追加と削除、Kerberos暗号化タイプの指定、KerberosおよびKCMメッセージのロギング場所の指定、PKINITトラスト・アンカー使用の有効化ができます。詳細は、「KINITおよびPKINIT認証の構成」を参照してください
ただし、より高度な構成とカスタマイズを必要とする場合は、手動でkrb5.confファイルを作成する必要があります。たとえば、ファイルをカスタマイズして、特定のドメイン・コントローラを参照するようにするか、代替UPN接尾辞を持つ環境に対応する必要があることがあります。このファイルを保存すると、変更が維持され、コンソールを使用して作成されたファイルより優先されます。
|
注意: 高度な構成が必要な場合のみ、この項の説明に従って、krb5.confファイルを作成してください。このファイルの更新はMSASコンソールでサポートされないため、コンソールを使用して行った変更はすべて無視されます。
MSASコンソールだけで使用するためのものなので、 |
次以降の項では、これらの状況でファイルを作成、編集する方法を説明します。
krb5.confファイルを作成する手順:
次の場所の下に、defaultディレクトリを作成します。
instance_root/instance_name/config/
ここで、instance_rootはインスタンスの作成時に指定したルート・ディレクトリ、instance_nameはインスタンスの名前です。デフォルトで、instance_rootはMW_HOME/instances、MW_HOMEはモバイル・セキュリティ・アクセス・サーバーをインストールしたMiddlewareのホーム・ディレクトリです。
例: /home/instances/myinstance1/config/default
http://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/krb5_conf.htmlにあるMIT Kerberosドキュメントの説明に従って、環境に必要な設定を使用してkrb5.confファイルを作成します。
例:
[libdefaults]
default_realm = EXAMPLE.COM
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5
kdc_timeout = 30
max_retries = 1
[appdefaults]
pkinit_anchors = FILE:instance_root/instancename/config/pkinit_anchors.cer
[logging]
krb5 = STDERR
kcm = STDERR
[realms]
EXAMPLE.COM = {
kdc = example.com
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
手順1で作成したinstance_root/instance_name/config/defaultディレクトリに、krb5.confファイルを保存します。
krb5.confファイルを作成してこのディレクトリに保存すると、コンソールを使用して作成されたものより優先され、それ以降のコンソールを使用した更新はすべて無視されます。
追加のActive Directoryのフォレストとドメインを追加するには、instance_root/instance_name/config/default/krb5.confに手動で作成したKerberos構成ファイルを編集し、次の構文を使用して、「レルム」セクションにレルムを、domain_realmセクションにドメインからレルムへのマッピングをそれぞれ追加します。
[realms]
<KRB_REALM_NAME> = {
kdc = <domain_name>
default_domain = <domain_name>
}
[domain_realm]
.<domain_name> = <KRB_REALM_NAME>
例:
[realms]
EXAMPLE1.COM = {
kdc = example1.com
default_domain = example1.com
}
EXAMPLE2.COM = {
kdc = example2.com
default_domain = example2.com
}
[domain_realm]
.example1.com = EXAMPLE1.COM
.example2.com = EXAMPLE2.COM
デフォルトで、インストールの後、モバイル・セキュリティ・アクセス・サーバーは、DNSルックアップをすることによって特定のドメインのドメイン・コントローラを検出するように構成されます。instance_root/instance_name/config/default/krb5.confファイルの各ドメインにある「レルム」セクションのエントリは、次のようなものを参照します。
EXAMPLE.COM={
kdc=example.com
default_domain=example.com
}
モバイル・セキュリティ・アクセス・サーバーを、指定のドメインの特定のドメイン・コントローラを参照するように構成できます。ドメイン・コントローラごとに、別々のkdc行を使用します。例:
EXAMPLE.COM = {
kdc = dc1.example.com
kdc = dc2.example.com
default_domain = example.com
}
デフォルトで、複数の構成済ドメイン・コントローラがある場合、モバイル・セキュリティ・アクセス・サーバーは各々を順番に試用します。レルム構成に文random_fallback = trueを追加することによって、個別のドメイン・コントローラをランダムな順序で試用するようにモバイル・セキュリティ・アクセス・サーバーを構成できます。例:
EXAMPLE.COM = {
kdc = dc1.example.com
kdc = dc2.example.com
random_fallback = true
default_domain = example.com
}
代替のユーザー・プリンシパル名(UPN)接尾辞は、UPN内の@記号より後のドメインが、ユーザーが存在するWindowsドメインや、ユーザーのドメインへの認証リクエストを参照できる、任意の他のWindowsドメインと異なる場合に発生します。
代替UPN接尾辞とWindowsパスワード(KINIT)を持つアカウントを使用する環境の場合は、エンタープライズ・アカウントと呼ばれるものを使用してKerberos認証を実行するようにモバイル・セキュリティ・アクセス・サーバーを構成する必要があります。代替UPN接尾辞のサポートを有効にする手順:
次の場所にあるkrb5.confファイルを開いて編集します。
instance_root/instance_name/config/default/krb5.conf
libdefaultsセクションの末尾に次の構成行を追加します。
[libdefaults ....] enterprise=true
|
注意: このフラグを使用する場合、libdefaultsセクションのdefault_realmパラメータを、認証を必要とするユーザーを含むすべてのサブドメインの下にあるルート・ドメインを参照するように設定することが重要です。
たとえば、2つのサブドメイン |
モバイル・セキュリティ・アクセス・サーバーがOracle Access Managerに対してユーザーを認証して、統合シングル・サインオンのためにOracle Access ManagerおよびOAuthのトークンを取得するためには、モバイル・セキュリティ・アクセス・サーバーがOracle Access Manager OAuthサービスを持つOAuth機密クライアントとして登録される必要があります。モバイル・セキュリティ・アクセス・サーバー構成スクリプトconfigMSASを使用してMSASインスタンスを構成する場合、この構成は自動的に行われます。
ただし、Oracle Access ManagementコンソールとWLSTを使用して、この構成を実行することもできます。これらの項で説明されている手順を使用して、構成が正しく完了されたことを検証することもできます。
次以降の項で、その方法を説明します。
OAuth2機密クライアント認証を構成するには、3つの主要な手順があります。
手順1: OAuth2機密クライアント・プロファイルの作成
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
モバイルOAuthサービス・アイコンをクリックします。「モバイルOAuthアイデンティティ・ドメインの管理」ページが新しいタブで開きます。
表で「デフォルト・ドメイン」を選択します。「モバイル・アイデンティティ・ドメインの構成」ページが新しいタブで開きます。
「クライアント」をクリックしてから、「OAuth Webクライアント」セクションで、「作成」アイコンをクリックします。「OAuth Webクライアント構成」ページが新しいタブで開きます。
適切なフィールドに、名前、クライアントIDおよびクライアント・シークレットを入力します。
| フィールド | 説明 |
|---|---|
| 名前 | MSAS_Instance_ID_MSASClientという形式を使用して、OAuthクライアントの名前を入力します(たとえばmyinstance1_MSASClient)。 |
| クライアントID | MSAS_Instance_ID_MSASClientという形式を使用して、クライアントIDを入力します(たとえばmyinstance1_MSASClient)。 |
| クライアント・シークレット | クライアントのパスワードを入力します。資格証明ストアの構成時に必要になるため、パスワードを書きとめます。 |
「権限」セクションが展開されていない場合は、展開します。
「すべてのスコープにアクセスを許可する」を選択してから「権限タイプ」セクションで「リソース所有者の資格証明」、「JWTベアラー」および「OAM資格証明」を選択します。図6-5に「OAuth Webクライアント構成」ページを示します。
このページの詳細は、『Oracle Access Management管理者ガイド』の、モバイル・クライアントの構成ページの理解に関する項を参照してください。
ページ上部の「作成」をクリックします。
手順2: MSASインスタンスでのOAuth2機密クライアント・サービス・プロファイル・エンドポイントの構成
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブをクリックします。
「OAuth2機密クライアント」セクションで、「エンドポイント」フィールドに、OAuth2機密クライアントのサービス・プロファイル・エンドポイントを入力します。例: http://host:port/ms_oauth/oauth2/endpoints/oauthservice
ページの上部の「適用」をクリックします。
手順3: WLSTを使用したCSFへのOAuth2機密クライアント資格証明の追加
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
createCred WLSTコマンドを使用して、前の手順で作成した機密クライアント資格証明を資格証明ストアに追加します。
createCred(map="<mapname>", key="<keyname>", user="<userName>", password="<password>",[desc="<description>"])
たとえば、myinstance1という名前のインスタンスの資格証明を、鍵がoauth2.confidential.client.credentials、クライアントID/パスワードがmyinstance1_MSASClient/password1、説明がOAuth2 Confidential Client Credentialとして追加するには、次のようにします。
createCred('myinstance1','oauth2.confidential.client.credentials','myinstance1_MSASClient','password1','OAuth2 Confidential Client Credential')
ここで指定するユーザー名とパスワードは、OAuth Webクライアント作成時に入力したクライアントIDと秘密鍵に適合する必要があります。
OAuth2モバイル・クライアント認証を構成するには、3つの主要な手順があります。
手順1: OAuth2モバイル・クライアント・プロファイルの作成
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
モバイルOAuthサービス・アイコンをクリックします。「モバイルOAuthアイデンティティ・ドメインの管理」ページが新しいタブで開きます。
表で「デフォルト・ドメイン」を選択します。「モバイル・アイデンティティ・ドメインの構成」ページが新しいタブで開きます。
「クライアント」をクリックしてから、「OAuthモバイル・クライアント」セクションで、「作成」アイコンをクリックします。「OAuthモバイル・クライアント構成」ページが新しいタブで開きます。
「名前」および「クライアントID」フィールドに、MSAS_Instance_ID_OracleContainerという形式を使用して、名前とクライアントIDを入力します(たとえばmyinstance1_OracleContainer)。
「権限」セクションが展開されていない場合は、展開します。
「すべてのスコープにアクセスを許可する」を選択してから、「権限タイプ」セクションで、次のオプションを選択します。
リソース所有者の資格証明
クライアント資格証明
「JWTベアラー」
「OAM資格証明」
「クライアント検証コード」
このページの詳細は、『Oracle Access Management管理者ガイド』の、モバイル・クライアントの構成ページの理解に関する項を参照してください。
「モバイル・サービスの設定」セクションを展開して、次の構成を実行します。
「デフォルト設定をオーバーライド」を選択します。
「サポートされているプラットフォーム」で、「iOS」および「Android」を選択します。
「iOSセキュリティ・レベル」には、「標準」を選択します。
「サーバー側のシングル・サインオンの有効化」チェック・ボックスの選択を解除します。
ページ上部の「作成」をクリックします。
手順2: MSASインスタンスでのOAuth2モバイル・クライアント・サービス・プロファイル・エンドポイントの構成
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。
「MSAS環境」ページが新しいタブで開きます。
MSASタイルの「MSAS」または「インスタンス」をクリックします。
MSASインスタンスのサマリー・ページが新しいタブで開きます。
インスタンス名、または目的のインスタンスのタイルの「構成」をクリックします。
MSASインスタンスの構成・ページが新しいタブで表示されます。タブ名は、インスタンスの名前です。
「認証エンドポイント」タブをクリックします。
「OAuth2モバイル・クライアント」セクションで、「エンドポイント」フィールドに、OAuth2モバイル・クライアントのサービス・プロファイル・エンドポイントを入力します。例: http://host:port/ms_oauth/oauth2/endpoints/oauthservice
ページの上部の「適用」をクリックします。
手順3: WLSTを使用したCSFへのOAuth2モバイル・クライアント資格証明の追加
「MSAS WLSTコマンドへのアクセス」の説明に従ってWLSTを開始します。
createCred WLSTコマンドを使用して、前の手順で作成したOAuthモバイル・クライアント資格証明を資格証明ストアに追加します。
たとえば、myinstance1という名前のインスタンスに対して、鍵がoauth2.mobile.client.id、クライアントIDがmyinstance1_OracleContainer、モバイル・クライアント認証ではパスワードが使用されないためパスワードは任意の値、説明がOAuth2 Mobile Client Credentialとしてモバイル・クライアント資格証明を追加するには、次のようにします。
createCred('myinstance1','oauth2.mobile.client.id','myinstance1_OracleContainer','myinstance1_OracleContainer','OAuth2 Mobile Client Credential')
このコマンドで使用するクライアントIDは、手順1の説明に従ってOAuth2モバイル・クライアントを作成したときに使用したクライアントIDに適合する必要があります(この例ではmyinstance1_OracleContainer)。パスワードは、この構成で使用されないため、任意の値を使用できます。
環境に、Oracle Web Services Manager (Oracle WSM)やWebGates for Oracle Access Manager (OAM)によって保護されているリソースが含まれている場合、それらのリソースにシングル・サインオン機能を提供するように、モバイル・セキュリティ・アクセス・サーバーを構成できます。その方法を次に示します。
手順1: MSASインスタンスの作成
『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスの構成に関する項の説明に従って、configMSASコマンドを使用して、MSASインスタンスを作成および構成できます。
手順2: OAuth2機密およびモバイル・クライアント・エンドポイントの構成
次以降の項の説明に従って、MSASコンソール・ページを使用してOAuth2エンドポイントを構成できます。
認証エンドポイントURLを構成する場合、外部OAuthサーバーの完全なURLを入力する必要があります。例:
http://example.com:14100/ms_oauth/oauth2/endpoints/oauthservice
手順3: Oracle Access Managerログイン・ページ用の転送プロキシ・アプリケーションの作成と、アクセス・ポリシーによるその保護
これを行うには、次のようにします。
「プロキシ・アプリケーションの作成」の説明に従って、転送プロキシ・アプリケーションを作成します。
アプリケーションで、Oracle Access Managerログイン・ページのプロキシURLを定義します。「ホストURL」フィールドに、OAMログイン・ページのURLを入力します。例:
http://host:port/oam/server
URLを選択し、「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、ポリシー強制エンドポイントに、次のポリシーをアタッチします。
リクエスト時: oracle/http_session_token_verify_policy
起動プロキシ: oracle/http_bmax_oam_client_policy
これらのポリシーの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_session_token_verify_policyおよびoracle/http_bmax_oam_client_policyに関する項を参照してください。
手順4: 転送プロキシ・アプリケーションがOAM WebGateで保護されたリソースへのシングル・サインオンのために存在することの確認
MSASインスタンスの作成時に、「Default URL」という名前の予約されたアプリケーションが作成され、すべての転送プロキシ・リクエストをデフォルトで保護します。このアプリケーションを変更も削除もしていない場合、WebGateによって保護されたリソースは、Default URLアプリケーションにアタッチされたポリシーによって保護されます。このアプリケーションを変更または削除している場合、転送プロキシ・アプリケーションを作成し、次のようにして、ポリシー強制エンドポイントに特定のポリシーをアタッチする必要があります。
「プロキシ・アプリケーションの作成」の説明に従って、転送プロキシ・アプリケーションを作成します。
アプリケーションで、WebGateのプロキシURLを定義します。
URLを選択し、「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、ポリシー強制エンドポイントに、次のポリシーをアタッチします。
リクエスト時: oracle/http_session_token_verify_policy
起動プロキシ: oracle/multi_token_client_policy
これらのポリシーの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_session_token_verify_policyおよびoracle/multi_token_client_policyに関する項を参照してください。
手順5: 転送プロキシ・アプリケーションがOracle WSMで保護されたリソースへのシングル・サインオンのために存在することの確認
MSASインスタンスの作成時に、「Default URL」という名前の予約されたアプリケーションが作成され、すべての転送プロキシ・リクエストをデフォルトで保護します。このアプリケーションを変更も削除もしていない場合、Oracle WSMによって保護されたリソースは、Default URLアプリケーションにアタッチされたポリシーによって保護されます。このアプリケーションを変更または削除している場合、転送プロキシ・アプリケーションを作成し、次のようにして、ポリシー強制エンドポイントに特定のポリシーをアタッチする必要があります。
「プロキシ・アプリケーションの作成」の説明に従って、転送プロキシ・アプリケーションを作成します。
アプリケーションで、Oracle WSMによって保護されたリソースのプロキシURLを定義します。
URLを選択し、「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、ポリシー強制エンドポイントに、次のポリシーをアタッチします。
リクエスト時: oracle/http_session_token_verify_policy
起動プロキシ: 次のいずれかをアタッチします。
oracle/multi_token_client_policy: Oracle WSMが、Oracle Access Managerによって発行されたOAuth/JWTトークンを信頼するように構成されている場合、これをデフォルト・ポリシーにしてください。
oracle/http_jwt_token_client_policy: このポリシーは、Oracle WSMが、MSASによって発行されたJWTトークンを信頼するように構成されている、高度な構成で使用できます。
これらのポリシーの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_session_token_verify_policyおよびoracle/multi_token_client_policyに関する項と、『Webサービスのためのセキュリティおよび管理者ガイド』のoracle/http_jwt_token_client_policyに関する項を参照してください。
環境にKerberosやNTLMによって保護されているリソースが含まれる場合、それらのリソースにシングル・サインオン機能を提供するように、モバイル・セキュリティ・アクセス・サーバーを構成できます。その方法を次に示します。
手順1: MSASインスタンスの作成
『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスの構成に関する項の説明に従って、configMSASコマンドを使用して、MSASインスタンスを作成および構成できます。
手順2: Kerberos認証エンドポイントの構成
次以降の項の説明に従って、MSASコンソール・ページを使用してKerberos認証(KINIT/PKINIT)エンドポイントを構成できます。
手順3: 転送プロキシ・アプリケーションがKerberosで保護されたリソースへのシングル・サインオンのために存在することの確認
MSASインスタンスの作成時に、「Default URL」という名前の予約されたアプリケーションが作成され、すべての転送プロキシ・リクエストをデフォルトで保護します。このアプリケーションを変更も削除もしていない場合、Kerberosによって保護されたリソースは、Default URLアプリケーションにアタッチされたポリシーによって保護されます。このアプリケーションを変更または削除している場合、転送プロキシ・アプリケーションを作成し、次のようにして、ポリシー強制エンドポイントに特定のポリシーをアタッチする必要があります。
「プロキシ・アプリケーションの作成」の説明に従って、転送プロキシ・アプリケーションを作成します。
アプリケーションで、Kerberosによって保護されたリソースのプロキシURLを定義します。
URLを選択し、「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、ポリシー強制エンドポイントに、次のポリシーをアタッチします。
リクエスト時: oracle/http_session_token_verify_policy
起動プロキシ: 次のいずれかをアタッチします。
oracle/multi_token_client_policy
oracle/http_bmax_spnego_client_policy
これらのポリシーについてのリファレンス情報は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_session_token_verify_policy、oracle/multi_token_client_policyおよびoracle/http_bmax_spnego_client_policyに関する項を参照してください。
手順4: 転送プロキシ・アプリケーションがNTLMで保護されたリソースへのシングル・サインオンのために存在することの確認
MSASインスタンスの作成時に、「Default URL」という名前の予約されたアプリケーションが作成され、すべての転送プロキシ・リクエストをデフォルトで保護します。このアプリケーションを変更も削除もしていない場合、NTLMによって保護されたリソースは、Default URLアプリケーションにアタッチされたポリシーによって保護されます。このアプリケーションを変更または削除している場合、転送プロキシ・アプリケーションを作成し、次のようにして、ポリシー強制エンドポイントに特定のポリシーをアタッチする必要があります。
「プロキシ・アプリケーションの作成」の説明に従って、転送プロキシ・アプリケーションを作成します。
アプリケーションで、NTLMによって保護されたリソースのプロキシURLを定義します。
URLを選択し、「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、ポリシー強制エンドポイントに、次のポリシーをアタッチします。
リクエスト時: oracle/http_session_token_verify_policy
起動プロキシ: 次のいずれかをアタッチします。
oracle/multi_token_client_policy
oracle/http_ntlm_token_client_policy
これらのポリシーについてのリファレンス情報は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_session_token_verify_policy、oracle/multi_token_client_policyおよびoracle/http_ntlm_token_client_policyに関する項を参照してください。
モバイル・セキュリティ・アクセス・サーバーは、環境におけるWebGateとして機能するように構成できます。WebGateは、HTTPリクエストを捕捉して、URLによってリソースを保護する、Oracle Access Manager(OAM)のWebサーバー・プラグインです。『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスの構成に関する項の説明に従って、configMSASツールを使用してMSASインスタンスを作成および構成すると、OAMプロンプトに入力したレスポンスを使用して、WebGateプロファイルが自動的に作成されます。このWebGateプロファイルは、どのリソースがOAMによって保護されるかを指定します。WebGateとして機能するようにMSASインスタンスを構成するには、OAMセキュリティ・ポリシーを、インスタンス内の仮想およびプロキシ・アプリケーションにアタッチします。
このシナリオの上位レベル・フローは、次のとおりです。
MSASインスタンスが、URLリソースへのアクセス権を求めるHTTPリクエストを受信します。
リソースが事前定義済OAMポリシーによって保護されている場合、MSASは認証のためにOAMにリクエストをルーティングします。
OAMは、認証のためにログイン・ページをユーザーに提示します。
ユーザーは資格証明を提示し、OAMは構成されたアイデンティティ・ストアに対してユーザーを認証します。
ユーザーが認証されると、OAMはセッションを作成し、セッション・トークンとともに認証レスポンスをMSASに送信します。
MSASが、リソースへのユーザー・アクセスを許可します。
MSASをWebGateとして構成するには、インスタンス内の仮想およびプロキシ・アプリケーションで定義されたURLリソースに、事前定義済OAMセキュリティ・ポリシーをアタッチする必要があります。これを行うには、次のようにします。
次以降の項の説明に従って、インスタンスに仮想またはプロキシ・アプリケーションを作成します。
次以降の項の説明に従って、保護するリソースの「URLポリシー構成」ページを開きます。
次のポリシーを、URLのリクエスト時エンドポイントにアタッチします。
oracle/http_oam_authentication_service_policy
このポリシーの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/http_oam_authentication_service_policyに関する項を参照してください。
「検証」、「適用」の順にクリックして変更を保存します。
|
注意: なんらかの方法でWebGateプロファイルを更新する必要がある場合、『Oracle Access Management管理者ガイド』の、コンソールを使用した登録済OAMエージェントの構成と管理に関する項の説明に従って、OAMコンソールを使用できます。MSASインスタンスは、「SSOエージェントの検索」ページの、「Webゲート」タブに、インスタンス名を使用してリストされます。WebGatesのリストを表示するために、「検索」をクリックする必要がある場合があります。 |
