Oracle® Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス 11gリリース2 (11.1.2.3) E61955-02 |
|
前 |
次 |
この章は、モバイル・セキュリティ・アクセス・サーバー(MSAS)・コンソールの環境ページを説明し、個々のMSASインスタンスのセキュリティの構成方法を説明します。モバイル・セキュリティ起動パッドからこのページを開くには、「モバイル・セキュリティ・アクセス・サーバー」セクションの「環境」を選択します。
この章には次のトピックが含まれます:
環境ページを使用して、MSAS環境の次のタスクを実行します。
環境で構成されたMSASインスタンスの合計数の表示。
MSASインスタンスでデプロイされたアプリケーションの合計数の表示。
MSASインスタンスで構成されたURLの合計数の表示。
各インスタンスのサマリー情報を表示するMSASインスタンスのサマリー・ページへのナビゲート。
各アプリケーションに関するサマリー詳細を表示するモバイル・セキュリティ・アクセス・サーバー・アプリケーションのサマリー・ページへのナビゲート。
新規MSASインスタンスをMSMサーバーに登録します。
環境ページには、MSASインスタンス、アプリケーションおよびURLの上位レベルのサマリーが表示されます。
要素 | 説明 |
---|---|
MSAS |
環境のインスタンス。クリックして、MSASインスタンスのサマリー・ページに移動します。 |
インスタンス |
環境に登録されたMSASインスタンスの合計数。クリックして、MSASインスタンスのサマリー・ページに移動します。 |
アプリケーション |
環境のすべてのMSASインスタンスのモバイル・セキュリティ・アクセス・サーバー・アプリケーションの合計数。クリックして、モバイル・セキュリティ・アクセス・サーバー・アプリケーションのサマリー・ページに移動します。 |
URL |
環境のすべてのMSASアプリケーションで構成されたURLの合計数。 |
インスタンスの登録 |
クリックして新しい論理MSASインスタンスを作成し、インスタンスをMSMサーバーに登録します。インスタンスを登録する場合、MSASインスタンスの構成ページで構成できます。 |
表示名 |
コンソールのインスタンスを識別するために使用される意味を持つ名前。 |
名前 |
MSASインスタンスの識別に使用される、有効なNCNameアスキー文字のみを使用するXMLのxs:NCName形式に準拠した一意の名前。たとえば、文字またはアンダースコア(_ )で始める必要があり、空白文字またはコロン(: )を含めることはできません。MSAS環境内で一意である必要があります。非ASCII文字はサポートされていません。このフィールドは必須です。
NCName形式は、 |
説明 |
インスタンスの簡単な説明。 |
OK |
新しいインスタンスを保存します。MSASインスタンスの構成ページは、構成の詳細を提供できる場所を表示します。 |
取消 |
インスタンスを登録せずに「MSASインスタンスの登録」ダイアログを終了します。 |
Oracleモバイル・セキュリティ・アクセス・サーバーの管理のモバイル・セキュリティ・アクセス・サーバー・インスタンスの管理に関する項
MSASインスタンスのサマリー・ページを使用して、モバイル・セキュリティ・アクセス・サーバー環境の次のタスクを実行します。
環境のインスタンスを検索します。このフィールドを使用して、ページに表示されるインスタンスの数をフィルタすることもできます。
アプリケーションおよびURLの数を含む環境のすべてのインスタンスのサマリー詳細を表示します。
各インスタンスのMSASインスタンスの構成ページに移動します。
各インスタンスのMSASアプリケーションのサマリー・ページに移動します。
MSASインスタンスを削除します。
要素 | 説明 |
---|---|
検索 |
検索フィールドにMSASインスタンス名のすべてまたは一部を入力し、「検索」をクリックします。検索フィールドを使用して、表示されるインスタンスの数をフィルタできます。空の文字列は、環境のすべてのインスタンスを表示します。
ワイルドカードは認識されず、プレーン・テキストとして処理されます。検索では、大文字と小文字は区別されません。 |
インスタンス名 |
インスタンスを作成した場合に指定したインスタンスの名前。インスタンス名をクリックして、MSASインスタンスの構成ページにアクセスします。 |
X |
環境からインスタンスを削除します。「X」をクリックし、「MSASインスタンスの削除」ウィンドウで、「OK」をクリックしてインスタンスを削除するか、「取消」をクリックして操作を取り消します。
インスタンスを削除する場合、すべての関連付けられたアプリケーションおよびURLも削除されます。 |
アプリケーション |
インスタンスで構成されたアプリケーションの合計数。「アプリケーション」をクリックして、インスタンスのアプリケーションのサマリー・ページにアクセスします。 |
URL |
インスタンスのすべてのアプリケーションで構成されたURLの合計数。 |
構成 | クリックして、MSASインスタンスの構成ページにアクセスします。 |
同期 | MSASインスタンス構成とMSASランタイム・サーバーを同期します。通常、同期はユーザーが指定したポーリング間隔で発生します。「同期」をクリックすると、即時の同期が強制実行され、変更を有効にするためにポーリング間隔を待機する必要がなくなります。 |
さらに表示 | 環境の追加のインスタンスを表示します。デフォルトでは、10個のインスタンスが表示されます。「さらに表示」をクリックするたびに、追加の5個のインスタンスが表示されます。
注意: すべてのインスタンスを表示するために表示領域の画面幅を調整できます。これを行うには、右上端のユーザー名、画面幅、必要な幅の順に選択します。 |
Oracleモバイル・セキュリティ・アクセス・サーバーの管理のモバイル・セキュリティ・アクセス・サーバー・インスタンスの管理に関する項
MSASインスタンスの構成ページを使用して、MSASインスタンスの次のタスクを実行します。
一般的な構成情報を表示または変更します。
アイデンティティ・ストア・プロファイルを表示または構成します。
信頼できる発行者などのインスタンスの認証設定を表示または構成します。
キーストアおよびメッセージ・セキュリティ設定を表示または構成します。
モバイル・セキュリティ・アクセス・サーバーとモバイル・セキュリティ・マネージャ間の接続を表示または構成します。
インスタンスの認証エンドポイントを表示または構成します。
アウトバウンド・メッセージ、プロキシ・サーバーおよびサーバー設定を表示または構成します。
MSASインスタンスの構成ページには、次のタブがあります。
一般
MSASインスタンスの構成ページの「一般」タブには、インスタンスの名前および説明、この論理インスタンスがバインドされている物理MSASインスタンスのURL、インスタンスのURLおよびアプリケーションの数、バージョン・データが表示されます。インスタンスの表示名と説明を変更できます。また、構成のバージョン情報も表示されます。
要素 | 説明 |
---|---|
名前 |
インスタンスの一意の識別子。このフィールドは読取り専用です。 |
表示名 |
ユーザー・インタフェースのインスタンスを識別するために使用される意味を持つ名前。このフィールドは編集可能です。 |
説明 |
インスタンスの説明。このフィールドは編集可能です。 |
MSAS URL |
この論理インスタンスがバインドされている物理MSASインスタンスのURL。物理MSASインスタンスの作成の詳細は、「MSASインスタンスの構成」を参照してください。
論理MSASインスタンスを複数の物理インスタンスにバインドできます。 |
ホスト |
物理MSASインスタンス・ホスト。 |
ポート |
物理MSASインスタンス・ポート。 |
統計 | 読取り専用モードのインスタンスに関する一般統計。 |
URL |
MSASインスタンスのすべてのアプリケーションに追加されたURLの合計数。 |
アプリケーション |
MSASインスタンスのアプリケーションの合計数。 |
バージョン情報
「バージョン情報」セクションには、MSASインスタンスのバージョンに関する詳細が読取り専用モードで表示されます。
要素 | 説明 |
---|---|
バージョン番号 |
MSASインスタンスを更新した回数。 |
最終更新 | MSASインスタンスに対する最終更新のタイムスタンプ。 |
更新者 |
MSASインスタンスを最後に更新したユーザー。 |
アイデンティティ・ストア・プロファイル
MSASインスタンスの構成ページの「アイデンティティ・ストア・プロファイル」タブには、MSASインスタンスへのアイデンティティ・ストア・プロファイルの追加、既存のプロファイルの編集、インスタンスで使用するデフォルト・プロファイルの設定を行う機能が表示されます。アイデンティティ・ストア・プロファイルは、ユーザー・リポジトリの論理表現です。MSASインスタンスに関連付けられている複数のプロファイルが存在する可能性があり、すべての認証およびユーザー・プロファイルの問合せが発生する対象のデフォルトとして1つのプロファイルをマークできます。
「アイデンティティ・ストア・プロファイル」表には、MSASインスタンスで定義されたプロファイルのリストが表示されます。
要素 | 説明 |
---|---|
プロファイル名 |
MSASインスタンスで一意のアイデンティティ・プロファイルの名前。 |
ディレクトリ情報 |
プロファイルで構成されたディレクトリをホストするサーバーのホストおよびポート。 |
アイデンティティ・ストア・プロファイルの次のアクションを実行します。
アクション | 説明 |
---|---|
追加 |
アイデンティティ・ストア・プロファイルをMSASインスタンスに追加します。 |
編集 |
既存のアイデンティティ・ストア・プロファイルを編集します。表のプロファイル名を選択し、「編集」をクリックして必要に応じてフィールドを編集できるアイデンティティ・ストア・プロファイル・ページを表示します。 |
削除 |
MSASインスタンスからアイデンティティ・ストア・プロファイルを削除します。表のプロファイル名を選択して、「削除」をクリックします。 |
デフォルトとして設定 |
デフォルトとして使用するプロファイルを選択します。設定すると、すべての認証およびユーザー・プロファイルの問合せがデフォルトのアイデンティティ・ストア・プロファイルに対して発生します。
表のプロファイル名を選択して、「デフォルトとして設定」をクリックします。 |
アイデンティティ・ストア・プロファイル・ページを使用して、MSASインスタンスのアイデンティティ・ストアを定義します。MSASインスタンスの構成ページの「アイデンティティ・ストア・プロファイル」タブの「追加」または「編集」アクションを使用して、このページにアクセスします。これには、次のセクションが含まれます:
要素 | 説明 |
---|---|
名前 |
アイデンティティ・ストア・プロファイルの名前。 |
説明 |
プロファイルの一般的な説明。 |
ディレクトリ情報
「ディレクトリ情報」セクションでは、ディレクトリ・タイプ、ホスト名およびアイデンティティ・ストアの資格証明の詳細を設定し、アイデンティティ・ストアへの接続をテストできます。
要素 | 説明 |
---|---|
ディレクトリ・タイプ |
ディレクトリのタイプ。サポートされているタイプは次のとおりです:
|
ホスト名 |
選択されたディレクトリを実行しているサーバーのホスト名。 |
ポート |
選択されたディレクトリのアクセスに使用されるポート。 |
バインドDN |
LDAPディレクトリに接続するユーザーのDistinguishedName(DN)。 |
バインド・パスワード |
選択されたディレクトリに接続するために使用するパスワード。 |
パスワードの確認 |
選択されたディレクトリに接続するために使用するパスワードを再入力します。 |
ベースDN |
すべてのユーザーおよびグループがLDAPディレクトリにあるLDAP検索ベース。たとえば、cn=ldap, dn=example, dc=com です。 |
SSL |
SSLポートを使用して接続する場合、このコントロールを選択して、SSLを有効化します。 |
信頼ストアのタイプ |
信頼ストアのタイプ。モバイル・セキュリティ・アクセス・サーバーの場合、サポートされている信頼ストアはKSS です。このフィールドは読取り専用です。 |
トラスト・ストア・パス |
信頼ストアへの完全修飾パス。デフォルトでは、このパスはkss:// msas_id /ssltruststore です。msas_id は、このアイデンティティ・ストア・プロファイルを関連付けるインスタンスのMSAS IDです。このフィールドは読取り専用です。 |
接続テスト |
すべての必須フィールドを入力した後、「接続テスト」をクリックして、ディレクトリへの接続をテストします。 |
ユーザー
「ユーザー」検索ベース・セクションでは、ユーザー名、ベースDN,およびアイデンティティ・ストア・プロファイルのオブジェクト・クラスを設定できます。
要素 | 説明 |
---|---|
ベースDN |
ユーザーが存在するコンテナ。たとえば、cn=users,dn=example,dc=com です。 |
ログインID属性 |
ユーザーのログインIDを含む属性。通常、これはLDAPのuid またはmail 属性です。Active Directoryでは、これはUserPrincipalName を示します。 |
オブジェクト・クラス |
ユーザーを表すために使用されるスキーマ・クラスの完全修飾名。デフォルトでは、標準のLDAPオブジェクトクラスinetOrgPerson に設定されます。 |
追加 |
「追加」をクリックしてオブジェクト・クラスを追加し、「オブジェクト・クラス名」フィールドに値を入力します。 |
削除 |
表からオブジェクト・クラス名を選択し、「削除」をクリックしてプロファイルから名前を削除します。 |
グループ
「グループ」セクションでは、グループ名、ベースDNおよびアイデンティティ・ストア・プロファイルのオブジェクト・クラスを設定できます。
要素 | 説明 |
---|---|
ベースDN |
LDAPディレクトリのグループ・エントリの検索ベース。たとえば、cn=group,dn=example,dc=com です。 |
グループ名属性 |
グループまたはロールの名前を一意に識別する属性。たとえば、cn です。 |
オブジェクト・クラス |
グループを表すために使用されるスキーマ・クラスの完全修飾名。デフォルトでは、これはgroupofuniquenames のLDAP標準オブジェクトクラスを示します。Active Directoryでは、これはgroup です。 |
追加 |
「追加」をクリックしてオブジェクト・クラスを追加し、「オブジェクト・クラス名」フィールドに値を入力します。 |
削除 |
表からオブジェクト・クラス名を選択し、「削除」をクリックしてプロファイルから名前を削除します。 |
認証
MSASインスタンスの構成ページの「認証」タブには、MSASインスタンスの信頼できる発行者およびクライアントを定義する機能が表示されます。これには、次のセクションが含まれます:
SAML信頼
「SAML信頼」セクションでは、SAML信頼する発行者と、信頼するサーバーおよび信頼するクライアントのSAML署名証明書の信頼する識別名(DN)のリストを定義できます。トークン属性ルールも定義できるため、信頼するSTSサーバーおよび信頼するSAMLクライアントに対してセキュリティ制約を追加定義できます。
このページで定義するSAML発行者のリストは、このMSASインスタンスのすべてのアプリケーションに適用できるデフォルト・リストになります。
この構成オプションは必要に応じて設定します。詳細な制御を必要とするユーザーは、この構成オプションを使用して各発行者を1つ以上の署名証明書のリストに関連付けることができます。信頼できる発行者のDNリストが定義されていない場合、証明書がMSASキーストアに存在する証明書によって信頼されているかぎり、その証明書に基づいて署名できます。
信頼するSTSサーバーの信頼するDNリストを定義するには、「信頼できるSTS」表を使用します。SAML HOKおよびSAML Bearerには、このリストを使用します。
信頼するクライアントの信頼するDNリストを定義するには、「信頼できるクライアント」表を使用します。SAML送信者保証には、このリストを使用します。
要素 | 説明 |
---|---|
発行者名 |
信頼する発行者の名前。事前定義のSAMLクライアント・ポリシーのデフォルト値はwww.oracle.com です。 |
発行者DN |
信頼する発行者の信頼するDN。DNリストを定義する発行者が含まれている行を選択し、ここに入力します。RFC 2253に準拠する文字列を使用してください。
たとえば、信頼する発行者 |
トークン・ルール |
アイコン上にマウスを重ねると、そのDNに構成されているトークン・ルールがポップアップ・ウィンドウに表示されます。 |
次のアクションを実行して、SAML信頼する発行者およびDNを追加または削除し、トークン・ルールを構成します。
アクション | 説明 |
---|---|
表示 |
このメニューで「列」および「列の並替え...」オプションを選択して、表示する列とその順序を指定します。 |
追加 |
信頼する発行者を追加します。「追加」をクリックして表に新しい行を追加し、信頼する発行者と関連付けるDNを「発行者名」および「発行者DN」フィールドに入力します。 |
削除 |
信頼する発行者を削除します。削除する発行者が含まれている行を選択し、「削除」をクリックします。 |
トークン・ルールの構成 |
信頼するDNに対するトークン属性ルールを指定します。ルールは2部構成で、名前IDと、署名証明書のDNがアサートできるユーザー属性の属性部分で構成されます。名前IDおよび属性には、複数の値パターンを持つフィルタを含めることができます。
ルールを定義するDNが含まれている行を選択し、「トークン・ルールの構成」をクリックします。「トークン・ルール」ウィンドウに新しいルールを追加するか、必要に応じて既存のルールを削除または編集します。 |
JWT信頼
「JWT信頼」セクションでは、JWT信頼する発行者とJWT署名証明書の信頼する識別名(DN)のリストを定義できます。トークン属性ルールも定義できるため、信頼する発行者に対してセキュリティ制約を追加定義できます。
このページで定義する信頼できる発行者のリストは、このMSASインスタンスのすべてのアプリケーションに適用できるデフォルト・リストになります。
この構成オプションは必要に応じて設定します。詳細な制御を必要とするユーザーは、この構成オプションを使用して各発行者を1つ以上の署名証明書のリストに関連付けることができます。信頼できる発行者のDNリストが定義されていない場合、証明書がMSASキーストアに存在する証明書によって信頼されているかぎり、その証明書に基づいて署名できます。
信頼するJWT発行者の信頼するDNリストを定義するには、「信頼できる発行者」表を使用します。
要素 | 説明 |
---|---|
発行者名 |
信頼する発行者の名前。事前定義のJWTクライアント・ポリシーのデフォルト値はwww.oracle.com です。 |
発行者DN |
信頼する発行者の信頼するDN。DNリストを定義する発行者が含まれている行を選択し、ここに入力します。RFC 2253に準拠する文字列を使用してください。
たとえば、信頼する発行者 |
トークン・ルール |
アイコン上にマウスを重ねると、そのDNに構成されているトークン・ルールがポップアップ・ウィンドウに表示されます。 |
次のアクションを実行して、JWT信頼する発行者およびDNを追加または削除し、トークン・ルールを構成します。
アクション | 説明 |
---|---|
表示 |
このメニューで「列」および「列の並替え...」オプションを選択して、表示する列とその順序を指定します。 |
追加 |
信頼する発行者を追加します。「追加」をクリックして表に新しい行を追加し、信頼する発行者と関連付けるDNを「発行者名」および「発行者DN」フィールドに入力します。 |
削除 |
信頼する発行者を削除します。削除する発行者が含まれている行を選択し、「削除」をクリックします。 |
トークン・ルールの構成 |
信頼するDNに対するトークン属性ルールを指定します。ルールは2部構成で、名前IDと、署名証明書のDNがアサートできるユーザー属性の属性部分で構成されます。名前IDおよび属性には、複数の値パターンを持つフィルタを含めることができます。
ルールを定義するDNが含まれている行を選択し、「トークン・ルールの構成」をクリックします。「トークン・ルール」ウィンドウに新しいルールを追加するか、必要に応じて既存のルールを削除または編集します。 |
メッセージ・セキュリティ
MSASインスタンスの構成ページの「メッセージ・セキュリティ」タブでは、環境に必要なメッセージ保護設定を構成できます。これには、次のセクションが含まれます:
キー・ストア
「キーストア」セクションでは、デフォルトのKSSキーストアの署名および暗号化の別名を選択できます。
要素 | 説明 |
---|---|
キー・ストア |
MSASインスタンスとともに使用されるキーストア。モバイル・セキュリティ・アクセス・サーバーの場合、サポートされているキーストアはKSS です。キーストア・タイプを変更できません。 |
パス |
KSSのキーストアの場所を指すKSS URI。デフォルトでは、このパスはkss:// msas_id /keystore です。msas_id はキーストアが関連付けられるMSASインスタンスのIDで、keystore はstripeIDです。このフィールドは読取り専用です。 |
別名の署名 |
メッセージの署名に使用する鍵の別名。この値はキーストア内の値と一致する必要があります。
「クリックして追加」を押して、「署名するための秘密鍵」ウィンドウを使用して署名の別名を追加します。 |
鍵ペアの生成 |
クリックして、署名鍵に使用する鍵ペアを生成します。 |
別名 |
鍵ペア・エントリの別名。 |
識別名 |
鍵ペアをラップする証明書の識別名。 |
アルゴリズム |
対称鍵アルゴリズム。デフォルトはRSAです。 |
鍵サイズ |
RSA鍵サイズ。デフォルトは1024バイトです。 |
鍵ペアの生成 |
このアクションを使用して、指定された情報を使用して鍵ペアを生成します。鍵ペアは、「鍵を選択します」表に追加されます。 |
キーストアからのインポート |
クリックして、キーストアから署名の鍵ペアおよび別名をインポートします。 |
ファイルの選択 |
このアクションを使用して、ファイル・システムからインポートする鍵ペアを選択します。 |
キーストア・パスワード |
署名鍵をインポートするキーストアのパスワード。 |
別名 |
インポートする鍵ペアの別名。 |
エイリアスのパスワード |
インポートする鍵ペアのエイリアスのパスワード。 |
インポート |
このアクションを使用して、選択された鍵ペアをキーストアにインポートします。「鍵を選択します」表に追加されます。 |
鍵を選択します |
使用できる署名の別名キーのリスト。表から別名を選択して、「OK」をクリックします。 |
別名の暗号化 |
メッセージの暗号化に使用する鍵の別名。この値はキーストア内の値と一致する必要があります。 |
鍵ペアの生成 |
クリックして、暗号化鍵に使用する鍵ペアを生成します。 |
別名 |
鍵ペア・エントリの別名。 |
識別名 |
鍵ペアをラップする証明書の識別名。 |
アルゴリズム |
対称鍵アルゴリズム。デフォルトはRSAです。 |
鍵サイズ |
RSA鍵サイズ。デフォルトは1024バイトです。 |
鍵ペアの生成 |
このアクションを使用して、指定された情報を使用して鍵ペアを生成します。鍵ペアは、「鍵を選択します」表に追加されます。 |
キーストアからのインポート |
クリックして、キーストアから暗号化の鍵ペアおよび別名をインポートします。 |
ファイルの選択 |
このアクションを使用して、ファイル・システムからインポートする鍵ペアを選択します。 |
キーストア・パスワード |
鍵ペアの鍵をインポートするキーストアのパスワード。 |
別名 |
インポートする鍵ペアの別名。 |
エイリアスのパスワード |
インポートする鍵ペアのエイリアスのパスワード。 |
インポート |
このアクションを使用して、選択された鍵ペアをキーストアにインポートします。「鍵を選択します」表に追加されます。 |
鍵を選択します |
使用できる暗号化鍵のリスト。表から別名を選択して、「OK」をクリックします。 |
セキュリティ設定
「セキュリティ設定」セクションでは、システム・クロック間のデフォルトのメッセージ・タイムスタンプ・スキューを調整することで、セキュリティ・ポリシー強制をチューニングできます。メッセージの有効期間を設定することもできます。
要素 | 説明 |
---|---|
クロック・スキュー |
クライアント・マシンとサーバー・マシンの間での時間差の許容範囲(秒単位)。たとえば、タイムスタンプがメッセージによって別のタイム・ゾーンのサービスに送信されるときは、このプロパティで許容範囲に対応します。デフォルト値は360,000ミリ秒(6分)。フィールドに新しい値を入力するか上下方向の矢印をクリックしてデフォルト値を増減します。
次の場合にこのプロパティを構成する必要があります。
|
クライアント・クロック・スキュー | SAMLまたはJWTトークン生成のNotBefore およびNotOnOrAfter 条件を計算するために使用される秒単位の時間の許容範囲。まとめて、これらの条件は、トークンの有効性を制限するために下限および上限を定義します。デフォルトは0 です。フィールドに新しい値を入力するか上下方向の矢印をクリックしてデフォルト値を増減します。 |
メッセージ期限切れ時間 |
メッセージが作成されてから期限切れになるまでの時間(秒単位)。このプロパティは、タイムスタンプがトークンで送信される場合に、タイプスタンプが期限切れかどうかを検証するために使用されます。デフォルト値は300,000ミリ秒(5分)。フィールドに新しい値を入力するか上下方向の矢印をクリックしてデフォルト値を増減します。
次の場合にこのプロパティを構成する必要があります。
|
ポリシー・アクセス
MSASインスタンスの構成ページの「ポリシー・アクセス」タブには、キャッシュのリフレッシュ時間を構成する機能が表示されます。これには、次のセクションが含まれます:
キャッシュ管理
「キャッシュ管理」セクションには、キャッシュのリフレッシュ時間を構成する機能が表示されます。
要素 | 説明 |
---|---|
キャッシュ・リフレッシュ時間 |
次のキャッシュ・リフレッシュまでに待機するミリ秒数。デフォルトは86,400,000ミリ秒(24時間)です。フィールドに新しい値を入力するか上下方向の矢印をクリックしてデフォルト値を増減します。 |
失敗再試行遅延 |
将来の使用のために予約されています。 |
ユーザー・レコード遅延 |
将来の使用のために予約されています。 |
失敗再試行回数 |
将来の使用のために予約されています。 |
欠落ドキュメント再試行遅延 |
将来の使用のために予約されています。 |
初期キャッシュ・リフレッシュ |
将来の使用のために予約されています。 |
認証エンドポイント
MSASインスタンスの構成ページの「認証エンドポイント」タブには、KINIT/PKINITおよびOAUTH2エンドポイントおよびCryptoサービスを構成する機能が表示されます。これには、次のセクションが含まれます:
KINIT & PKINIT
「認証エンドポイント」タブのKINITおよびPKINITセクションでは、Kerberos Password Authentication (KINIT)およびPublic Key Cryptography for Initial Authentication (PKINIT)の処理に必要なKerberos krb5.conf
ファイルのプロパティを構成できます。krb5.conf
ファイルには、KDCの場所および対象のKerberosレルムの管理デーモン、デフォルト・レルム、デフォルト・ドメイン、デフォルト暗号化タイプ、Kerberosアプリケーションの場合はKerberosレルムのホスト名のマッピングを含むKerberos構成情報が含まれています。ここで入力された値は、MSASリポジトリに格納されます。
これには、次のセクションが含まれます:
レルム KINIT & PKINITの「レルム」セクションには、Kerberosレルムを追加、編集および削除する機能が表示されます。デフォルト・レルムとして1つのレルムを指定する必要があります。
「レルム」表には、MSASインスタンスに定義されているレルムのリストが表示されます。
要素 | 説明 |
---|---|
レルム名 |
Kerberosレルムの名前。 |
デフォルト |
デフォルト・レルムを示すフラグ。 |
Kerberosレルムの次のアクションを実行します。
アクション | 説明 |
---|---|
追加 |
KerberosレルムをMSASインスタンスに追加します。「追加」をクリックして、レルム・ページを表示します。レルム・ページで、フィールドに入力し、「OK」、「適用」の順にクリックします。 |
名前 |
レルム名は、任意のASCII文字列で構成できます。レルム名は、Active Directoryの設定時に定義されたREALM名と一致する必要があります。 |
KDCホスト |
「名前」フィールドで指定されたレルムを実行するKDCサーバーのホスト。 |
KDCポート |
「名前」フィールドで指定されたレルムを実行するKDCサーバーのオプションのポート。 |
デフォルト・ドメイン |
フィールドにデフォルト・ドメインの名前を入力するか、メニューからデフォルト・ドメインを選択します。 |
編集 |
既存のKerberosレルムを編集します。表のレルム名を選択し、「編集」をクリックして必要に応じてフィールドを編集できるレルム・ページを表示します。 |
削除 |
MSASインスタンスからKerberosレルムを削除します。表のレルム名を選択して、「削除」をクリックします。 |
デフォルトとして設定 |
デフォルトとして使用するレルムを選択します。
表のレルム名を選択して、「デフォルトとして設定」をクリックします。 |
ドメイン KINIT & PKINITの「ドメイン」セクションには、MSASインスタンスのDNSドメインを追加および削除する機能が表示されます。
「ドメイン」表には、レルムで定義されたドメインのリストが表示されます。
要素 | 説明 |
---|---|
ドメイン |
DNSドメイン名 |
レルム |
ドメインに関連付けられているKerberosレルム。 |
ドメインの次のアクションを実行します。
アクション | 説明 |
---|---|
追加 |
DNSドメインをMSASインスタンスに追加します。「追加」をクリックして、「ドメイン」フィールドのドメインの名前を入力します。通常、ドメイン名はexample.com などの小文字です。メニューから関連付けられたレルムを選択し、「適用」をクリックします。 |
削除 |
MSASインスタンスからドメインを削除します。表のドメイン名を選択して、「削除」、「適用」の順にクリックします。 |
暗号化 KINIT & PKINITの「暗号化」セクションには、KDCへのリクエストを行う場合にクライアントが使用する必要があるKerberos暗号化のタイプを指定する機能が表示されます。
要素 | 説明 |
---|---|
デフォルトTKT暗号化タイプ |
優先度が高い順から低い順である、AS-REQの作成時にクライアントが要求する必要があるセッション・キー暗号化タイプのサポート対象リスト。
メニューから暗号化タイプを選択します。 |
デフォルトTGS暗号化タイプ |
優先度が高い順から低い順である、TGS-REQの作成時にクライアントが要求する必要があるセッション・キー暗号化タイプのサポート対象リスト。
メニューから暗号化タイプを選択します。 |
ロギング KINIT & PKINITの「ロギング」セクションには、KerberosおよびKCMメッセージのロギングの場所を構成する機能が表示されます。
要素 | 説明 |
---|---|
krb5 |
Kerberos構成に使用するログの場所を選択します。サポートされているオプションは次のとおりです:
|
KCM |
Kerberosキャッシュ・マネージャ(KCM)に使用するログの場所を選択します。サポートされているオプションは次のとおりです:
|
編集ポリシー | このアクションを使用して、KINITエンドポイントのURLポリシー構成ページを開きます。リクエスト時およびレスポンス時のサブジェクトにアタッチされた内部ポリシーが表示されます。このページを使用して、エンドポイントおよびアタッチされたポリシーに関する詳細を表示できます。 |
リクエスト時 |
Http Kerberosパスワード認証サービス・ポリシーがリクエスト時にアタッチされます。この内部ポリシーは、Kerberosパスワード認証を可能にします。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
レスポンス時 |
Httpセッション・トークン発行ポリシーは、レスポンス時にアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
PKINITトラスト・アンカー KINIT & PKINITの「PKINITトラスト・アンカー」セクションを使用して、PKINIT認証のトラスト・アンカーの使用を有効化します。PKINITトラスト・アンカーは、キーストアに格納されます。
要素 | 説明 |
---|---|
有効化 |
このアクションを選択してKDC証明書の発行局を信頼するためにPKINITアンカーの使用を有効化し、表から信頼できる証明書を選択するか、トラストストアに証明書をインポートします。選択する証明書は、証明書チェーンの最初の証明書である必要があります。MSASは、開始点として選択された証明書を使用して完全なチェーンを自動的にフェッチします。 |
トラストストアの場所 |
KDC証明書に署名するためにクライアントが信頼する、信頼性のあるアンカー(ルート)証明書の場所を指定します。KSSキーストアのみがサポートされます。このフィールドは読取り専用です。 |
ファイルの選択 |
このアクションを使用して、ファイル・システムからインポートする証明書を選択します。 |
別名 |
インポートするPKINIT信頼証明書の別名。 |
インポート |
このアクションを使用して、選択された証明書をトラストストアにインポートします。信頼できる証明書表に追加されます。 |
選択 |
証明書を選択して、PKINITトラスト・アンカーの別名を設定します。 |
X |
証明書を削除するには、削除する証明書の行の「X」をクリックします。「キーの削除」ウィンドウで、「はい」をクリックして削除を確定します。 |
編集ポリシー | このアクションを使用して、PKINITエンドポイントのURLポリシー構成ページを開きます。リクエスト時およびレスポンス時のエンドポイントにアタッチされた内部ポリシーが表示されます。このページを使用して、エンドポイントおよびアタッチされたポリシーに関する詳細を表示できます。 |
リクエスト時 |
Http Kerberos PKI認証サービス・ポリシーがリクエスト時にアタッチされます。この内部ポリシーはKerberos PKI認証を有効にします。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、アウトバウンド・メッセージの署名用に 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
レスポンス時 |
Httpセッション・トークン発行ポリシーは、レスポンス時にアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、アウトバウンド・メッセージの署名用に 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
OAuth2機密クライアント
「認証エンドポイント」タブの「OAuth2機密クライアント」セクションを使用して、OAuth2エンドポイントを指定し、OAuth2機密クライアントの資格証明ストア・フレームワーク(CSF)のクライアントIDおよびシークレットを指定します。
要素 | 説明 |
---|---|
エンドポイント |
MSASサーバーがJWTユーザー・トークンおよびOAuth2機密クライアント認証フローのOAMトークンを作成できるOAuthサービス・プロファイル・エンドポイント。 |
編集ポリシー |
このアクションを使用して、エンドポイントのURLポリシー構成ページを開きます。リクエスト時およびレスポンス時のサブジェクトにアタッチされた内部ポリシーが表示されます。このページを使用して、エンドポイントおよびアタッチされたポリシーに関する詳細を表示できます。 |
リクエスト時 |
SSL経由Http OAuth2機密クライアント・ポリシーはリクエスト時にアタッチされます。この内部ポリシーは、OAuth2機密クライアント認証を実行し、OAuthおよびOAMトークンを作成します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 「オーバーライド」タブをクリックして、「値」フィールドにOAuth2クライアントCSFキーを入力します。 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
レスポンス時 |
Httpセッション・トークン発行ポリシーは、レスポンス時にアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、アウトバウンド・メッセージの署名用に 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
OAuth2モバイル・クライアント
「認証エンドポイント」タブの「OAuth2モバイル・クライアント」セクションを使用して、クライアントが接続できるOAuth2エンドポイントおよびOAuth2モバイル・クライアント・フローのCSFのモバイル・クライアントIDを指定します。
要素 | 説明 |
---|---|
エンドポイント |
MSASサーバーがコンテナ・モバイル・アプリケーションを登録し、JWTユーザー・トークンおよびOAuth2モバイル・クライアント認証フローのOAMトークンを作成できるOAuthサービス・プロファイル・エンドポイント。 |
編集ポリシー |
このアクションを使用して、エンドポイントのURLポリシー構成ページを開きます。リクエスト時およびレスポンス時のサブジェクトにアタッチされた内部ポリシーが表示されます。このページを使用して、エンドポイントおよびアタッチされたポリシーに関する詳細を表示できます。 |
リクエスト時 |
SSL経由Http OAMMSモバイル・クライアント・トークン・サービス・ポリシーはリクエスト時にアタッチされます。この内部ポリシーは、OAMMSモバイル・クライアント認証を実行し、OAUTHおよびOAMトークンを作成します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 「オーバーライド」タブをクリックして、「値」フィールドにモバイル・クライアントIDを入力します。 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
レスポンス時 |
Httpセッション・トークン発行ポリシーは、レスポンス時にアタッチされます。このポリシーは、クライアントに対して認証されたユーザーIDを使用したセッション・トークンを発行します。
ポリシー名を選択するか、「オプション」メニュー・アイコンをクリックし、「編集」をクリックしてポリシー詳細を表示し、ポリシーのオーバーライドを構成します。 オプションで、「オーバーライド」タブをクリックしてプロパティ・オーバーライドを構成するか、アウトバウンド・メッセージの署名用に 注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
Cryptoサービス
「認証エンドポイント」タブの「Cryptoサービス」セクションを使用して、アーカイブ・キー別名とともにCryptoサービスを構成します。
要素 | 説明 |
---|---|
キー・ロールオーバー別名 |
アーカイブされたキーのキーストア・ロールオーバー機能によって使用されたキーストアの別名。これらのキー別名は、順序付けられたリストとして保持されます。1番目の別名は最も古く、2番目の別名はその次、のようになります。 |
編集ポリシー |
このアクションを使用して、エンドポイントのURLポリシー構成ページを開きます。リクエスト時およびレスポンス時のサブジェクトにアタッチされた内部ポリシーが表示されます。このページを使用して、エンドポイントおよびアタッチされたポリシーに関する詳細を表示できます。 |
リクエスト時 |
2つのポリシーがデフォルトでアタッチされます。
注意: このエンドポイントで確実に適切な認証をするには、デフォルト・ポリシー・アタッチメントを削除したり、追加のポリシーをアタッチしたりしないでください。 |
レスポンス時 |
必要に応じて「オプション」メニュー・アイコンをクリックしてポリシーまたはテンプレートをアタッチします。デフォルトでアタッチされるポリシーはありません。 |
システム設定
MSASインスタンスの構成ページの「システム設定」タブには、インスタンスのシステム設定を構成する機能が表示されます。これには、次のセクションが含まれます:
アウトバウンド・メッセージの設定
「アウトバウンド・メッセージの設定」セクションでは、バックエンド・サービスへのクライアント接続を構成できます。
要素 | 説明 |
---|---|
プール内の合計接続数 |
クライアントが処理できるプール内の接続の最大数。デフォルトは512 です。 |
ホスト当たりの最大接続数 |
クライアントが処理できる、プール内のホスト当たりの最大接続数。デフォルト値は25です。 |
接続タイムアウト |
バックエンド・ホストへの接続時にクライアントが待機できる最大時間(ミリ秒)。デフォルトは20,000 ミリ秒です。 |
アイドル接続プール・タイムアウト |
クライアントがプール内のアイドル接続を保持する最大時間(ミリ秒)。デフォルトは180,000 ミリ秒(3分)です。 |
リクエスト・タイムアウト |
クライアントがレスポンスを待機できる最大時間(ミリ秒)。デフォルトは60,000ミリ秒 (1分)です。 |
プロキシ・サーバー設定
「プロキシ・サーバー設定」セクションでは、バックエンド・アプリケーションおよびサービスのMSAS経由のインターネットに対するアウトバウンド・コールに使用されるプロキシ・サーバーを構成できます。
要素 | 説明 |
---|---|
名前 |
それを一意に識別するプロキシ・サーバーの名前。このフィールドはオプションです。 |
ホスト名 |
プロキシ・サーバーのホスト名。 |
ポート |
プロキシ・サーバーのポート番号。 |
ユーザー名 |
プロキシ・サーバーに接続するユーザーID。
注意: ユーザー名とパスワードは、プロキシ・サーバーが認証を必要とする場合のみ必須です。 |
パスワード |
プロキシ・サーバーに接続するユーザーIDに対応するパスワード。 |
プロキシを使用しないホスト名 |
プロキシ・サーバーを使用しないホストのリスト。アスタリスク* のワイルドカードをサポートしますが、サフィックスおよびプレフィックスのみです。
デフォルトで、このフィールドには、値 |
サーバー設定
「サーバー設定」セクションでは、MSASサーバーの一般設定を指定できます。
要素 | 説明 |
---|---|
ロード・バランサURL |
フロント・エンドのロード・バランサ非SSL URL(例: http://lbr.example.org:80 )。 |
ロード・バランサSSL URL |
フロント・エンドのロード・バランサSSL URL(例: https://lbr.example.org:443 )。 |
サービス・プリンシパル名 | このプロパティは、サービス・プリンシパル名とともにURLをマップします。サービス・プリンシパル名は、NTLMおよびSPNEGOに必要です。
「追加」をクリックして、サービス・プリンシパル名およびURLを追加します。サービス・プリンシパル名およびURLを削除するには、表の行を選択して、「削除」をクリックします。 |
URL |
サービス・プリンシパル名URL。URLのアスタリスク* のワイルドカードをサポートしています(例: http*://example.host*80/* または*.example.org )。 |
サービス・プリンシパル名 |
SPN_SERVICECLASS / SPN_HOSTNAME の形式のサービス・プリンシパル名。 |
SSL設定
「SSL設定」セクションでは、アウトバウンドおよびインバウンドSSL HTTPS接続の証明書および鍵を追加できます。
要素 | 説明 |
---|---|
SSLトラストストアの場所 |
SSLトラスト・ストアの場所を指定する読取り専用のフィールド。サポートされているのはKSSキーストア・タイプのみであるため、値はKSS URIにする必要があります。 |
サーバー証明書 | 証明書をインポートするには、「クリックしてインポート」を選択して、証明書をトラストストアにインポートできるサーバー証明書ページを開きます。
注意: Base64でエンコードされた証明書のみサポートされます。 |
ファイルの選択 |
このアクションを使用して、ファイル・システムからインポートする証明書を選択します。 |
別名 |
トラストストア別名。 |
証明書タイプ |
インポートする証明書のタイプ。サポートされているオプションは次のとおりです:
|
インポート |
このオプションを使用して、選択された証明書をトラストストアにインポートします。証明書表に追加されます。 |
X |
証明書を削除するには、削除する証明書の行の「X」をクリックします。「Yes」をクリックして削除を確定します。 |
SSLキーストアの場所 |
SSLキーストアの場所を指定する読取り専用のフィールド。SSLキーストアは、MSASへのインバウンドSSL接続に使用され、MSASアイデンティティ・キーストアとして使用されます。サポートされているのはKSSキーストア・タイプのみであるため、値はKSS URIにする必要があります。 |
秘密鍵 | 秘密鍵を追加するには、「クリックして追加」をクリックして、鍵ペアの生成またはJKSキーストアからの鍵のインポートを行える秘密鍵ページを開きます。 |
鍵ペアの生成 |
このオプションを使用して、MSAS SSLアイデンティティ・キーの秘密鍵ペアを生成します。 |
別名 |
鍵ペア・エントリの別名。 |
識別名 |
鍵ペアをラップする証明書の識別名。 |
アルゴリズム |
対称鍵アルゴリズム。デフォルトはRSAです。 |
鍵サイズ |
RSA鍵サイズ。デフォルトは1024バイトです。 |
鍵ペアの生成 |
指定された情報を使用して鍵ペアを生成します。鍵は、鍵ペア表に追加されます。 |
キーストアからのインポート |
クリックして、Javaキーストア・ファイルをキーストア・サービスにインポートします。 |
ファイルの選択 |
このオプションを使用して、Javaキーストア・ファイルを選択します。 |
キーストア・パスワード |
鍵ペアをインポートするJKSキーストアのパスワード。 |
別名 |
インポートする鍵ペアの別名。 |
エイリアスのパスワード |
インポートする鍵ペアのエイリアスのパスワード。 |
インポート |
選択された鍵ペアをKSSキーストアにインポートします。鍵ペア表に追加されます。 |
X |
鍵ペアを削除するには、削除する鍵ペアの行の「X」をクリックします。「Yes」をクリックして削除を確定します。 |
ログ構成
「ログ構成」セクションでは、MSASサブコンポーネントのランタイム・ロギング・レベルを構成できます。ここで指定された構成は論理MSASインスタンスに適用され、論理インスタンスがバインドされるすべての物理MSASインスタンスで使用されます。
要素 | 説明 |
---|---|
ログ出力名 |
ログ出力の名前。ルート・ログ出力はデフォルトで移入されます。レベルが明示的に構成されていないすべてのログ出力は、ルート・ログ出力から継承されます。 |
ロギング・レベル(Javaレベル) |
メニューからロギング・レベルを選択します。有効な値は次のとおりです。
|
ログ・レベル構成の次のアクションを実行します。
アクション | 説明 |
---|---|
追加 |
MSASログ出力をMSASインスタンスに追加します。「追加」をクリックして、「ログ出力名」フィールドにログ出力の名前を入力します。使用可能なログ出力は次のとおりです。
次に、メニューから必要なロギング・レベルを選択し、ページの上部の「適用」をクリックします。 |
削除 |
MSASインスタンスからログ出力を削除します。表のログ出力名を選択し、「削除」をクリックします。 |
Oracleモバイル・セキュリティ・アクセス・サーバーの管理のモバイル・セキュリティ・アクセス・サーバー・インスタンスの構成に関する項