A Oracle Internet DirectoryとOracle Access Managerとの統合

この付録では、インストール後に、Oracle Access Managerとともに使用する目的で、集中管理されたLDAPストアを有効にする方法について説明します。ここでは、Oracle Internet Directoryに重点を置いて説明します。ただし、選択したLDAPプロバイダによってタスクが異なることはありません。

Oracle Access Managerでは、アイデンティティ・ドメインとして各ユーザー移入とLDAPディレクトリ・ストアに対応しています。それぞれのアイデンティティ・ドメインは構成済のLDAPユーザー・アイデンティティ・ストアにマップされます。このストアはOracle Access Managerに登録されます。複数のLDAPストアは、異なるサポート対象LDAPプロバイダに依存するそれぞれとともに使用できます。

WebLogic Serverドメインの最初の構成時、組込みLDAPのみがOracle Access Managerのユーザー・アイデンティティ・ストアとして構成されます。組込みLDAP内では、weblogicがデフォルトの管理者としてあらかじめ設定された管理者グループが作成されます。

• システム・ストアとして指定されたユーザー・アイデンティティ・ストアのみが、Oracle Access Manager、リモート登録、およびWLSTのカスタム管理コマンドを使用するためにサインインする管理者の認証に使用されます。

• Oracle Access Managerに保護されたリソースにアクセスしようとするユーザーは、デフォルトのユーザー・アイデンティティ・ストアとして指定されたストアのみでなく、任意のストアに対して認証できます。

• Oracle Security Token Serviceは、デフォルトのユーザー・アイデンティティ・ストアのみを使用します。トークン発行ポリシーにユーザーの制約を追加するとき、たとえば、ユーザーを選択するアイデンティティ・ストアはデフォルトのユーザー・アイデンティティ・ストアである必要があります。

ユーザー・アイデンティティ・ストアをAccess Managerに登録した後、管理者は1つ以上の認証モジュールでそのストアを参照できます。これらのモジュールは、Oracle Access Managerの認証スキームおよびポリシーの基盤となります。パートナを(Oracle Access Managerコンソールまたはリモート登録ツールを使用して)登録する場合、指定されたデフォルトの認証スキームを使用するポリシーを使用して、アプリケーション・ドメインを作成し、シードできます。ユーザーがOracle Access Managerによって保護されたリソースにアクセスすると、そのユーザーは、認証モジュールによって指定されたストアに対して認証されます。

内容は次のとおりです。

• 必要なコンポーネントのインストールと設定

• Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義

• LDAPストアに依存するOracle Access Managerポリシーの管理

• 認証とアクセスの検証

A.1 必要なコンポーネントのインストールと設定

Oracle Internet Directory 11.1.1.7以降をOracle Access Manager 11.1.2.3以降と統合するときには、一連のタスクを完了する必要があります。

この統合用に環境を準備する手順に従う前に、次を参照してください

• Windowsネイティブ認証のためのAccess Managerの構成

• Oracle Internet Directory 11.1.1.9をインストールするには、Oracle Identity Managementのインストールおよび構成に関する項を参照してください。

• 目的のLDAPディレクトリのあるOracle Access Managerをインストールおよび設定するには、データ・ソースに関する項およびOracle Internet Directoryの構成に関する項を参照してください。

• LDAPディレクトリ・スキーマをAccess Manager用に拡張し、LDAPディレクトリ内にユーザーとグループを作成するには、Oracle Identity Managerサーバーの構成に関する項を参照してください。

Oracle Internet Directory 11.1.1.9とOracle Access Manager 11.1.2.3を統合するには、次のようにします。

1. 次のように、環境をこの統合用に準備します。
   1. Oracle Internet Directory 11.1.1.9をインストールします。
   2. 目的のLDAPディレクトリを持つOracle Access Managerをインストールし、設定します。
   3. LDAPディレクトリ・スキーマをAccess Manager用に拡張し、LDAPディレクトリ内にユーザーとグループを作成します。
2. LDAPプロバイダ用の認証プロバイダを作成し、それらを使用するようにWebLogic Serverを構成することで、Oracle Access Managerコンソールへのアクセス時に複数のログイン・ページが表示されないようにします。Oracle Access Managerコンソールを通じて認証を行うか、WebLogic Server管理コンソールを通じて直接認証を行うかにかかわらず、次のように、すべての認証プロバイダがシングル・サインオンに対してSUFFICIENTに設定されていることを確認します。
   1. 「セキュリティ・レルム」、「myrealm」、「プロバイダ」の順にクリックします。
   2. 「新規」をクリックし、次に名前を入力して、タイプを選択します。
      たとえば、次のようにします。

      名前: OID Authenticator

      タイプ: OracleInternetDirectoryAuthenticator

      OK

   3. 認証プロバイダ表内で、新しく追加されたオーセンティケータをクリックします。
   4. 「設定」ページで「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定して「保存」をクリックします。
   5. 「プロバイダ固有」タブをクリックし、ご使用のデプロイメントに対して次の値を指定します。

      ホスト: LDAPホスト。例: example

      ポート: LDAPホストのリスニング・ポート。3060

      プリンシパル: LDAP管理ユーザー。例: cn=*********

      資格証明: LDAPの管理ユーザー・パスワード。********

      ユーザー・ベースDN: LDAPユーザーと同じ検索ベース。

      すべてのユーザーのフィルタ: たとえば、(&(uid=*)(objectclass=person))

      ユーザー名属性: LDAPディレクトリのユーザー名のデフォルト属性として設定します。例: uid

      グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)。

      注意:

      デフォルト設定でも正常に機能するため、「すべてのグループのフィルタ」は設定しないでください。

      「保存」をクリックします。

3. DefaultIdentityAsserterを設定します。
   1. 「セキュリティ・レルム」から、「myrealm」、「プロバイダ」、「認証」の順にクリックし、「DefaultIdentityAsserter」をクリックして構成ページを表示します。
   2. 「共通」タブをクリックし、「制御フラグ」をSUFFICIENTに設定します。
   3. 「保存」をクリックします。
4. プロバイダを並べ替えます。
   1. プロバイダが一覧表示される「サマリー」ページで、「並替え」をクリックします。
   2. 「認証プロバイダの並替え」ページでプロバイダ名を選択してから、この一覧の隣にある矢印を使用して、次のようにプロバイダを並べ替えます。

      WebLogicプロバイダ

      IAMSuiteAgent

      OracleInternetDirectoryAuthenticator

      DefaultIdentityAsserter

   3. 「OK,」をクリックして、変更を保存します。
5. 変更をアクティブ化します。チェンジ・センターで「変更のアクティブ化」をクリックし、Oracle WebLogic Serverを再起動します。
6. 次のセクションに進みます。

A.2 Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義

登録されているユーザー・アイデンティティ・ストアを指すLDAP認証方式と、このLDAPモジュールをフォーム認証または基本認証に使用する認証スキームを設定する必要があります。

この例では、新しいLDAPストアがシステム・ストアとして指定されていることを前提に、OAMAdminConsoleSchemeを使用します。環境によっては異なることがあります。

前提条件として、「必要なコンポーネントのインストールと設定」を参照してください。

指定されたユーザー・アイデンティティ・ストアが、認証に必要なユーザー資格証明を含んでいることを確認します。

注意:

Access Managerでの認証にアイデンティティ・ストアを使用する手順を実行する前に

• Oracle Internet Directorの登録については、ユーザー・アイデンティティ・ストアの登録および管理に関する項を参照してください

• 認証モジュールおよびプラグインを定義するには、ネイティブLDAP認証モジュールに関する項およびプラグイン・ベースのモジュールによるマルチステップ認証の編成に関する項を参照してください

• 認証スキーム・チャレンジ方法を定義するには、認証スキームの作成に関する項を参照してください

Access Managerで認証用にアイデンティティ・ストアを使用するには、次の手順を実行します。

1. Oracle Access ManagerにOracle Internet Directoryを登録します。

2. 認証モジュールとプラグインを定義します。「システム構成」タブの「Access Managerの設定」セクションから、「認証モジュール」ノードを展開します。

   1. LDAPモジュール: LDAP認証モジュールを開き、ユーザー・アイデンティティ・ストアを選択して「適用」をクリックします。

   2. カスタム認証モジュール: LDAPPluginステップ(stepUIのUserIdentificationPlugIn)で、KEY_IDENTITY_STORE_REFを指定して「適用」をクリックします。

      例:

      認証モジュール

      カスタム認証モジュール

      LDAPPlugin

      「ステップ」タブ

      stepUI UserIdentificationPlugIn

      この手順をstepUAのUserAuthenticationPlugInプラグインに対して繰り返し、ここで説明したように変更を適用します。

3. 認証スキームのチャレンジ・メソッドを定義します。フォームまたは基本チャレンジ・メソッドでは、ユーザー・アイデンティティ・ストアを指すLDAP認証モジュールまたはプラグインへの参照が必要になります。

   たとえば、次のようにします。

   Oracle Access Managerコンソール

   「ポリシー構成」タブ

   「共有コンポーネント」ノード

   「認証スキーム」ノード

   DesiredScheme (OAMAdminConsoleSchemeまたは任意のFormまたはBasicスキーム)

   1. 認証モジュールによって、アイデンティティ・ストアを指すLDAPモジュールまたはプラグインが参照されていることを確認します。

   2. 「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。

   3. 確認ウィンドウを閉じます。

4. 次のセクションに進みます。

A.3 LDAPストアに依存するOracle Access Managerポリシーの管理

Oracle Access Managerポリシーは、特定のリソースを保護します。ポリシーとリソースは、アプリケーション・ドメイン内で編成されます。

ユーザー・アイデンティティ・ストアを指す認証スキームを使用するように認証ポリシーを構成する一連の手順を実行しました。

前提条件として、「Oracle Access ManagerでのOracle Internet Directoryに対する認証の定義」を参照してください

注意:

LDAP認証を使用するアプリケーション・ドメインとポリシーを作成する手順を実行する前に

• リソースの定義については、ポリシー・リソース定義の追加および管理に関する項を参照してください。

• 認証ポリシーについては、特定のリソースの認証ポリシーの定義に関する項を参照してください。

• 認可ポリシーについては、特定のリソースの認可ポリシーの定義に関する項を参照してください。

• トークン発行ポリシー。「トークン発行ポリシー、条件およびルールの管理」を参照してください。

LDAP認証を使用するアプリケーション・ドメインとポリシーを作成するには::

1. Oracle Access Managerコンソールから、次を開きます。

   Oracle Access Managerコンソール

   「ポリシー構成」タブ

   「アプリケーション・ドメイン」ノード

2. 目的のアプリケーション・ドメインを見つけて開きます(または「作成」(+)をクリックし、一意の名前を入力して保存します)。
3. リソースおよびポリシーの定義: アプリケーション・ドメインおよび環境に対して次の要素を定義(または編集)します。
   1. リソース定義: リソースをポリシーに追加するには、アプリケーション・ドメイン内でそのリソースを定義しておく必要があります。
   2. 認証ポリシー: 「ポリシー」ページで、登録されているOracle Internet Directoryのユーザー・アイデンティティ・ストアを指すLDAPモジュールまたはプラグインを参照するスキームを選択します。環境に合せて特定のリソースを追加し、ポリシーを完成させます。
   3. 認可ポリシー: 特定のリソースの認可ポリシーを作成または変更し、必要なレスポンスと制約を含めます。
   4. トークン発行ポリシー: トークン発行ポリシーのアイデンティティ条件の設定時に、特定のユーザー・アイデンティティ・ストアを選択します。
4. 次のセクションに進みます。

A.4 認証とアクセスの検証

ここでの手順は、エージェント登録と認証および認可ポリシーを操作できることを確認するいくつかの方法を示しています。手順は、OAMエージェントおよびOSSOエージェント(mod_osso)でほとんど同じです。ただし、OSSOエージェントは認証ポリシーのみ使用し、認可ポリシーは使用しません。

認証およびアクセスを確認するには、次の手順を実行します。:

1. Webブラウザを使用すると、登録されたエージェントで保護されたアプリケーションのURLを入力して、ログイン・ページが表示されていることを確認します(認証リダイレクトURLが適切に指定されたことが証明されます)。例:

   http://myWebserverHost.example.com:8100/resource1.html
   

2. ログイン・ページにリダイレクトしていることを確認します。
3. サインイン・ページで、求められた場合に有効なユーザー名およびパスワードを入力し、「サインイン」をクリックします。
4. リソースにリダイレクトしていることを確認し、先に進みます。

   • 成功: 正しく認証され、リソースへのアクセスが付与された場合、構成が正常に動作します。

   • 失敗: ログイン中にエラーを受け取った場合またはリソースへのアクセスが拒否された場合、次の項目を確認します。

     • 失敗した認証: 有効な資格証明を使用して再度サインインします。

     • URL...のアクセスの拒否: このリソースのアクセスにこのユーザーIDが認可されていません。

     • 使用不能なリソース: リソースが使用できることを確認します。

     • 不正なリダイレクトURL: Oracle Access ManagerコンソールのリダイレクトURLを確認します。