Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
前 |
次 |
この付録では、アイデンティティ仮想化で使用されるアダプタを構成および実装する方法と、メッセージをログに記録する方法について説明します。
この付録の内容は次のとおりです。
分割プロファイルとは、属性が2つ(以上)のソースに格納されるアイデンティティのことです。アイデンティティ仮想化では、分割プロファイルと、単一の問合せによる複数のLDAPディレクトリの問合せがサポートされています。したがって、アプリケーションで1つのアイデンティティについて複数のソース・ディレクトリから属性を取得する必要がある場合は、分割プロファイルとともにアイデンティティ仮想化を使用します。アダプタ構成はadapters.os_xml
ファイルに格納されていますが、接続パラメータ(ホスト、ポート、資格証明など)はOPSSの構成から取得されます。
LDAP接続パラメータを構成する際、user.create.bases
プロパティとgroup.create.bases
プロパティがプライマリ・アダプタのネームスペースに対応している必要があります。
関連項目: 『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryのアダプタの理解に関する項 『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』の結合ビュー・アダプタの理解に関する項 |
分割プロファイルを構成するには、次の手順を実行します。
virtualize
プロパティをtrueに設定して、複数のLDAPに対して問合せを有効にします。アイデンティティ・ストアの構成の詳細は、第8.3項「アイデンティティ・ストアの構成」を参照してください。
createJoinAdapter
WLSTコマンドを使用して、プライマリ・アイデンティティ・ストアで結合アダプタを作成します。
createJoinAdapter(adapterName="Join Adapter Name", root="Namespace", primaryAdapter="Primary adapter Name")
addJoinRule
WLSTコマンドを使用して、各セカンダリ・ストアに結合ルールを追加します。
addJoinRule(adapterName="Join Adapter Name", secondary="Secondary Adapter Name", condition="Join Condition")
modifyLDAPAdapter
WLSTコマンドを使用して、すべてのストアでアダプタを変更します。
modifyLDAPAdapter(adapterName="AuthenticatorName", attribute="Visible", value="Internal")
関連項目: 『WebLogic Server WLSTコマンド・リファレンス』のcreateJoinAdapterに関する項 『WebLogic Server WLSTコマンド・リファレンス』のaddJoinRuleに関する項 『WebLogic Server WLSTコマンド・リファレンス』のmodifyLDAPAdapterに関する項 |
cn=users,dc=acme,dc=com
ユーザー・ベースを指定してMicrosoft Active Directoryがプライマリ認証プロバイダであり、cn=users,dc=oid,dc=com
ユーザー・ベースを指定してOracle Internet Directoryがセカンダリ・プロバイダであることを前提とします。
この2つのアダプタを使用して分割プロファイルを実装するには、次の手順を実行します。
プライマリ認証プロバイダで結合アダプタを作成します。
createJoinAdapter(adapterName="JoinAdapter1", root="dc=acme,dc=com", primaryAdapter="AD")
セカンダリ認証プロバイダに作成した結合アダプタを追加します。
addJoinRule(adapterName="JoinAdapter1", secondary="OID", condition="uid=cn")
uid=cn
は、ユーザーのuid
の値がMicrosoft Active Directoryのcn
の値と一致した場合に、属性が組み合されることを示しています。
等号記号の左側の属性がセカンダリ・アダプタの属性で、右側の属性がプライマリ・アダプタの属性です。
すべてのアダプタの表示を変更するには、次のようにします。
modifyLDAPAdapter(adapterName="OID", attribute="Visible", value="Internal") modifyLDAPAdapter(adapterName="AD", attribute="Visible", value="Internal")
Oracle WebLogic Serverを再起動します。
関連項目: 『WebLogic Server WLSTコマンド・リファレンス』のcreateJoinAdapterに関する項 『WebLogic Server WLSTコマンド・リファレンス』のaddJoinRuleに関する項 『WebLogic Server WLSTコマンド・リファレンス』のmodifyLDAPAdapterに関する項 |
Identity Virtualization Libraryのロギングを有効にするには、次の手順を実行します。
すでに構成されたIdentity Virtualization Libraryロガーをすべて削除します。
NOTIFICATION
レベルでoracle.ods.virtualization.accesslog
という名前の新しいロガーを作成します。
ハンドラを作成し、ロガーに関連付けられたファイル(すべてのメッセージが記録されます)を指定します。
auditLogPublisher
をDOMAIN_HOME
/
config/fmwconfig/ovd/default/provider.os_xml
ファイルに追加します。
<providers> ... <auditLogPublisher> <provider name="FMWAuditLogPublisher"></provider> <provider name="AccessLogPublisher"> <configClass>oracle.ods.virtualization.config.AccessLogPublisherConfig</configClass> <properties> <property name="enabled" value="true"/> </properties> </provider> </auditLogPublisher> ... </providers>
WebLogic Serverを再起動します。