Oracle Access Managerでは、アイデンティティ・ドメインとして各ユーザー移入とLDAPディレクトリ・ストアに対応しています。それぞれのアイデンティティ・ドメインは、Oracle Access Managerに登録されている構成済のLDAPユーザー・アイデンティティ・ストアにマップされます。複数のLDAPストアは、異なるサポート対象LDAPプロバイダに依存するそれぞれとともに使用できます。
WebLogic Serverドメインの最初の構成時、組込みLDAPのみがOracle Access Managerのユーザー・アイデンティティ・ストアとして構成されます。組込みLDAP内では、weblogic
がデフォルトの管理者としてあらかじめ設定された管理者グループが作成されます。
システム・ストアとして指定されたユーザー・アイデンティティ・ストアのみが、Oracle Access Managerコンソール、リモート登録、およびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。
OAMに保護されたリソースにアクセスしようとするユーザーは、デフォルトのユーザー・アイデンティティ・ストアとして指定されたストアのみでなく、任意のストアに対して認証できます。
Oracle Security Token Serviceは、デフォルトのユーザー・アイデンティティ・ストアのみを使用します。トークン発行ポリシーにユーザーの制約を追加するとき、たとえば、ユーザーを選択するアイデンティティ・ストアはデフォルトのユーザー・アイデンティティ・ストアである必要があります。
ユーザー・アイデンティティ・ストアをAccess Managerに登録すると、管理者は1つ以上の認証モジュールでそのストアを参照できます。これは、Oracle Access Managerの認証スキームおよびポリシーの基盤となります。パートナを登録する場合(Oracle Access Managerコンソールまたはリモート登録ツールを使用)、指定されたデフォルトの認証スキームを使用するポリシーを使用して、アプリケーション・ドメインを作成し、シードできます。ユーザーがOracle Access Managerによって保護されたリソースにアクセスしようとすると、そのユーザーは、認証モジュールによって指定されたストアに対して認証されます。
内容は次のとおりです。
次に示す概要では、Oracle Internet Directory 11.1.1.7以降をOracle Access Manager 11.1.2.3以降と統合する際に必要な、様々なタスクについて説明します。
関連項目:
『Oracle Access Management管理者ガイド』の「他の製品とAccess Managerとの統合」の章。
タスクの概要: Oracle Internet Directory 11.1.1.9とOracle Access Manager 11.1.2.3との統合
次のように、環境をこの統合用に準備します。
Oracle Internet Directory 11.1.1.9をインストールします。詳細は、『Oracle Identity Managementインストレーション・ガイド』の「Oracle Identity Management (11.1.1.9.0)のインストールと構成」の章を参照してください。
『Oracle Access Management管理者ガイド』の「データ・ソースの管理」および関連する章の説明(Oracle Internet Directoryの構成に関する項も参照)に従って、Oracle Access Managerをインストールし、目的のLDAPディレクトリを使用して設定を行います。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、LDAPディレクトリ・スキーマをAccess Manager用に拡張し、LDAPディレクトリ内にユーザーとグループを作成します。
LDAPプロバイダ用の認証プロバイダを作成し、それらを使用するようにWebLogic Serverを構成することで、Oracle Access Managerコンソールへのアクセス時に複数のログイン・ページが表示されないようにします。
Oracle Access Managerコンソールを通じて認証を行うか、WebLogic Server管理コンソールを通じて直接認証を行うかにかかわらず、次のように、すべての認証プロバイダがシングル・サインオンに対してSUFFICIENTに設定されていることを確認します。
「セキュリティ・レルム」、「myrealm」、「プロバイダ」の順にクリックします。
「新規」をクリックし、次に名前を入力して、タイプを選択します。次に例を示します。
名前: OID Authenticator
タイプ: OracleInternetDirectoryAuthenticator
OK
認証プロバイダ表内で、新しく追加されたオーセンティケータをクリックします。
「設定」ページで「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定して「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、デプロイメントに合せて次の値を指定します。
ホスト: LDAPホスト。例: example
ポート: LDAPホストのリスニング・ポート。3060
プリンシパル: LDAP管理ユーザー。例: cn=*********
資格証明: LDAPの管理ユーザー・パスワード。********
ユーザー・ベースDN: LDAPユーザーと同じ検索ベース。
すべてのユーザーのフィルタ: たとえば、(&(uid=*)(objectclass=person))
ユーザー名属性: LDAPディレクトリのユーザー名のデフォルト属性として設定します。例: uid
。
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)。
注意:
デフォルト設定でも正常に機能するため、「すべてのグループのフィルタ」は設定しないでください。
「保存」。
DefaultIdentityAsserterを設定します:
「セキュリティ・レルム」から、「myrealm」、「プロバイダ」、「認証」の順にクリックし、「DefaultIdentityAsserter」をクリックして構成ページを表示します。
「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定します。
「保存」。
プロバイダを並べ替えます:
プロバイダがリストされたサマリーページで、並替えボタンをクリックします
認証プロバイダの並替えページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。
「OK」をクリックして変更を保存します
変更をアクティブ化します。チェンジ・センターで「変更のアクティブ化」をクリックし、Oracle WebLogic Serverを再起動します。
「Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義」に進みます。
次の手順では、登録されているユーザー・アイデンティティ・ストアを指すLDAP認証方式と、このLDAPモジュールをフォーム認証または基本認証に使用する認証スキームの設定方法について説明します。この例では、新しいLDAPストアがシステム・ストアとして指定されていることを前提に、OAMAdminConsoleScheme
を使用します。環境によっては異なることがあります。
前提条件
指定されたユーザー・アイデンティティ・ストアが、認証に必要なユーザー資格証明を含んでいることを確認します。
Access Managerでアイデンティティ・ストアを認証に使用するには:
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項の説明に従って、Oracle Access ManagerにOracle Internet Directoryを登録します。
認証モジュールとプラグインを定義します。「システム構成」タブの「Access Managerの設定」セクションから、「認証モジュール」ノードを展開します。
LDAPモジュール: LDAP認証モジュールを開き、ユーザー・アイデンティティ・ストアを選択して「適用」をクリックします。
カスタム認証モジュール: LDAPPlugin
ステップ(stepUIのUserIdentificationPlugIn
)で、KEY_IDENTITY_STORE_REFを指定して「適用」をクリックします。次に例を示します。
UserIdentificationPlugIn
この手順をstepUAのUserAuthenticationPlugIn
プラグインに対して繰り返し、ここで説明したように変更を適用します。
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
認証スキームのチャレンジ・メソッドを定義します。フォームまたは基本チャレンジ・メソッドでは、ユーザー・アイデンティティ・ストアを指すLDAP認証モジュールまたはプラグインへの参照が必要になります。次に例を示します。
OAMAdminConsoleScheme
または任意のFormまたはBasicスキーム)認証モジュールによって、アイデンティティ・ストアを指すLDAPモジュールまたはプラグインが参照されていることを確認します。
「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
確認ウィンドウを閉じます。
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
Oracle Access Managerポリシーは、特定のリソースを保護します。ポリシーとリソースは、アプリケーション・ドメイン内で編成されます。
この項では、ユーザー・アイデンティティ・ストアを指す認証スキームを使用するように認証ポリシーを構成する方法について説明します。
前提条件
Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義
LDAP認証を使用するアプリケーション・ドメインとポリシーを作成するには: