A Oracle Internet DirectoryとOracle Access Managerとの統合

この付録では、インストール後に、Oracle Access Managerとともに使用する目的で、集中管理されたLDAPストアを有効にする方法について説明します。ここでは、Oracle Internet Directoryに重点を置いて説明します。ただし、選択したLDAPプロバイダによってタスクが異なることはありません。

Oracle Access Managerでは、アイデンティティ・ドメインとして各ユーザー移入とLDAPディレクトリ・ストアに対応しています。それぞれのアイデンティティ・ドメインは構成済のLDAPユーザー・アイデンティティ・ストアにマップされます。このストアはOracle Access Managerに登録されます。複数のLDAPストアは、異なるサポート対象LDAPプロバイダに依存するそれぞれとともに使用できます。

WebLogic Serverドメインの最初の構成時、組込みLDAPのみがOracle Access Managerのユーザー・アイデンティティ・ストアとして構成されます。組込みLDAP内では、weblogicがデフォルトの管理者としてあらかじめ設定された管理者グループが作成されます。

• システム・ストアとして指定されたユーザー・アイデンティティ・ストアのみが、Oracle Access Managerコンソール、リモート登録、およびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。

• OAMに保護されたリソースにアクセスしようとするユーザーは、デフォルトのユーザー・アイデンティティ・ストアとして指定されたストアのみでなく、任意のストアに対して認証できます。

• Oracle Security Token Serviceは、デフォルトのユーザー・アイデンティティ・ストアのみを使用します。トークン発行ポリシーにユーザーの制約を追加するとき、たとえば、ユーザーを選択するアイデンティティ・ストアはデフォルトのユーザー・アイデンティティ・ストアである必要があります。

ユーザー・アイデンティティ・ストアをAccess Managerに登録した後、管理者は1つ以上の認証モジュールでそのストアを参照できます。これらのモジュールは、Oracle Access Managerの認証スキームおよびポリシーの基盤となります。パートナを(Oracle Access Managerコンソールまたはリモート登録ツールを使用して)登録する場合、指定されたデフォルトの認証スキームを使用するポリシーを使用して、アプリケーション・ドメインを作成し、シードできます。ユーザーがOracle Access Managerによって保護されたリソースにアクセスすると、そのユーザーは、認証モジュールによって指定されたストアに対して認証されます。

次のトピックを取り扱います:

• 第A.1項「必要なコンポーネントのインストールと設定」

• 第A.2項「Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義」

• 第A.3項「LDAPストアに依存するOracle Access Managerポリシーの管理」

• 第A.4項「認証とアクセスの検証」

A.1 必要なコンポーネントのインストールと設定

次の概要では、Oracle Internet Directory 11.1.1.5をOracle Access Manager 11.1.1.5と統合する際に必要な、様々なタスクについて説明します。

関連項目: Oracle Fusion Middleware Oracle Access Management管理者ガイド

タスクの概要: Oracle Internet Directory 11.1.1.5とOracle Access Manager 11.1.1.5との統合

1. 次のように、環境をこの統合用に準備します。

   1. 『Oracle Identity Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.1.5.0)のインストールの説明に従って、Oracle Internet Directory 11.1.1.5をインストールします。

   2. 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明(Oracle Internet Directoryの構成に関する項も参照)に従って、Oracle Access Managerをインストールし、目的のLDAPディレクトリを使用して設定を行います。

   3. 『Oracle Identity Managementインストレーション・ガイド』の説明に従って、LDAPディレクトリ・スキーマをAccess Manager用に拡張し、LDAPディレクトリ内にユーザーとグループを作成します。

2. LDAPプロバイダ用の認証プロバイダを作成し、それらを使用するようにWebLogic Serverを構成することによって、Oracle Access Managerコンソールへのアクセス時に複数のログイン・ページが表示されないようにします。

   Oracle Access Managerコンソールを通じて認証を行うか、WebLogic Server管理コンソールを通じて直接認証を行うかにかかわらず、次のように、すべての認証プロバイダがシングル・サインオンに対してSUFFICIENTに設定されていることを確認します。

   1. 「セキュリティ・レルム」→「myrealm」→「プロバイダ」をクリックします。

   2. 「新規」をクリックし、次に名前を入力して、タイプを選択します。次に例を示します。

      名前: OID Authenticator

      タイプ: OracleInternetDirectoryAuthenticator

      OK

   3. 「認証プロバイダ」表で、新しく追加されたオーセンティケータをクリックします。

   4. 「設定」ページで「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定して「保存」をクリックします。

   5. 「プロバイダ固有」タブをクリックした後、デプロイメントに合せて次の値を指定します。

      ホスト: LDAPホスト。例: example

      ポート: LDAPホストのリスニング・ポート。3060

      プリンシパル: LDAP管理ユーザー。例: cn=*********

      資格証明: LDAPの管理ユーザー・パスワード。********

      ユーザー・ベースDN: LDAPユーザーと同じ検索ベース。

      すべてのユーザーのフィルタ: たとえば、(&(uid=*)(objectclass=person))

      ユーザー名属性: LDAPディレクトリのユーザー名のデフォルト属性として設定します。例: uid。

      グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)。

      
      

      注意: デフォルト設定でも正常に機能するため、「すべてのグループのフィルタ」は設定しないでください。

      
      

      「保存」。

3. 次のようにDefaultIdentityAsserterを設定します。

   1. 「セキュリティ・レルム」→「myrealm」→「プロバイダ」から、「認証」→「DefaultIdentityAsserter」をクリックして構成ページを表示します。

   2. 「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定します。

   3. 「保存」。

4. 次のようにプロバイダを並べ替えます。

   1. プロバイダがリストされた「サマリー」ページで、「並替え」ボタンをクリックします

   2. 「認証プロバイダの並替え」ページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。

      
      WebLogicプロバイダ
      IAMSuiteAgent
      OracleInternetDirectoryAuthenticator
      DefaultIdentityAsserter
      

   3. 「OK」をクリックして変更を保存します

5. 変更をアクティブ化します。チェンジ・センターで「変更のアクティブ化」をクリックし、Oracle WebLogic Serverを再起動します。

6. 第A.2項「Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義」に進みます。

A.2 Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義

次の手順では、登録されているユーザー・アイデンティティ・ストアを指すLDAP認証方式と、このLDAPモジュールをフォーム認証または基本認証に使用する認証スキームの設定方法について説明します。この例では、新しいLDAPストアがシステム・ストアとして指定されていることを前提に、OAMAdminConsoleSchemeを使用します。環境によっては異なることがあります。

前提条件

第A.1項「必要なコンポーネントのインストールと設定」

指定されたユーザー・アイデンティティ・ストアが、認証に必要なユーザー資格証明を含んでいることを確認します。

Access Managerでアイデンティティ・ストアを認証に使用するには:

1. "『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項の説明に従って、Oracle Access ManagerにOracle Internet Directoryを登録します。

2. 認証モジュールとプラグインを定義します。「システム構成」タブの「Access Managerの設定」セクションから、「認証モジュール」ノードを展開します。

   1. LDAPモジュール: LDAP認証モジュールを開き、ユーザー・アイデンティティ・ストアを選択して「適用」をクリックします。

   2. カスタム認証モジュール: LDAPPluginステップ(stepUIのUserIdentificationPlugIn)で、KEY_IDENTITY_STORE_REFを指定して「適用」をクリックします。次に例を示します。

      
      認証モジュール
      カスタム認証モジュール
      LDAPPlugin
      「ステップ」タブ
      stepUIのUserIdentificationPlugIn
      

      この手順をstepUAのUserAuthenticationPlugInプラグインに対して繰り返し、ここで説明したように変更を適用します。

   
   

   関連項目: Oracle Fusion Middleware Oracle Access Management管理者ガイド

   
   

3. 認証スキームのチャレンジ・メソッドを定義します。フォームまたは基本チャレンジ・メソッドでは、ユーザー・アイデンティティ・ストアを指すLDAP認証モジュールまたはプラグインへの参照が必要になります。次に例を示します。

   
   Oracle Access Managerコンソール
   「ポリシー構成」タブ
   「共有コンポーネント」ノード
   「認証スキーム」ノード
   DesiredScheme (OAMAdminConsoleSchemeか、任意のフォームまたは基本スキーム)
   

   1. 認証モジュールによって、アイデンティティ・ストアを指すLDAPモジュールまたはプラグインが参照されていることを確認します。

   2. 「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。

   3. 確認ウィンドウを閉じます。

   
   

   関連項目: Oracle Fusion Middleware Oracle Access Management管理者ガイド

   
   

4. 第A.3項「LDAPストアに依存するOracle Access Managerポリシーの管理」に進みます。

A.3 LDAPストアに依存するOracle Access Managerポリシーの管理

Oracle Access Managerポリシーは、特定のリソースを保護します。ポリシーとリソースは、アプリケーション・ドメイン内で編成されます。

この項では、ユーザー・アイデンティティ・ストアを指す認証スキームを使用するように認証ポリシーを構成する方法について説明します。

前提条件

第A.2項「Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義」

LDAP認証を使用するアプリケーション・ドメインとポリシーを作成するには:

1. Oracle Access Managerコンソールから、次を開きます。

   
   Oracle Access Managerコンソール
   「ポリシー構成」タブ
   「アプリケーション・ドメイン」ノード
   

2. 目的のアプリケーション・ドメインを見つけて開きます(または「作成」(+)ボタンをクリックし、一意の名前を入力して保存します)。

3. リソースとポリシーを定義します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従い、次の要素をアプリケーション・ドメインと環境に合せて定義(または編集)します。

   • リソース定義: リソースをポリシーに追加するには、アプリケーション・ドメイン内でそのリソースを定義する必要があります。「ポリシーで使用するリソース定義の追加および管理」を参照してください。

   • 認証ポリシー: 「ポリシー」ページで、登録されているOracle Internet Directoryのユーザー・アイデンティティ・ストアを指すLDAPモジュールまたはプラグインを参照するスキームを選択します。環境に合せて特定のリソースを追加し、ポリシーを完成させます。「特定のリソースの認証ポリシーの定義」を参照してください。

   • 認可ポリシー: 特定のリソースの認可ポリシーを作成または変更し、必要なレスポンスと制約を含めます。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の特定のリソースの認可ポリシーの定義に関する項を参照してください。

   • トークン発行ポリシー: トークン発行ポリシーのアイデンティティ条件の設定時に、特定のユーザー・アイデンティティ・ストアを選択します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Managerを使用したトークン発行ポリシーと制約の管理に関する項を参照してください。

4. 第A.4項「認証とアクセスの検証」に進みます。

A.4 認証とアクセスの検証

ここでの手順は、エージェント登録と認証および認可ポリシーを操作できることを確認するいくつかの方法を示しています。手順は、OAMエージェントおよびOSSOエージェント(mod_osso)でほとんど同じです。ただし、OSSOエージェントは認証ポリシーのみ使用し、認可ポリシーは使用しません。

認証およびアクセスを確認するには、次の手順を実行します。

1. Webブラウザを使用すると、登録されたエージェントで保護されたアプリケーションのURLを入力して、ログイン・ページが表示されていることを確認します(認証リダイレクトURLが適切に指定されたことが証明されます)。次に例を示します。

   http://myWebserverHost.example.com:8100/resource1.html
   

2. ログイン・ページにリダイレクトしていることを確認します。

3. 「サインイン」ページで、求められた場合に有効なユーザー名およびパスワードを入力し、「サインイン」をクリックします。

4. リソースにリダイレクトしていることを確認し、先に進みます。

   • 成功: 正しく認証され、リソースへのアクセスが付与された場合、構成が正常に動作します。

   • 失敗: ログイン中にエラーを受け取った場合またはリソースへのアクセスが拒否された場合、次の項目を確認します。

     • 失敗した認証: 有効な資格証明を使用して再度サインインします。

     • URL...のアクセスの拒否: このリソースのアクセスにこのユーザーIDが認可されていません。

     • 使用不能なリソース: リソースが使用できることを確認します。

     • 不正なリダイレクトURL: Oracle Access ManagerコンソールのリダイレクトURLを確認します。