13 Access Managerの設定の構成

Access Managerの設定では、いくつかの特定のAccess Managerサービスの操作に対して構成オプションが用意されています。

この章では、次のAccess Manager固有の設定について説明します。

• Oracle Access Managementの概要

• ロード・バランシングの管理

• セキュア・エラー・モードの管理

• SSOトークンとIPの検証の管理

• OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理

• 実行時のポリシー評価キャッシュの管理

13.1 Oracle Access Managementの概要

構成オプションおよびサービス操作を開始する前に、Oracle Access Management、サーバー登録および管理について理解します。

次のトピックを確認してください。

• Oracle Access Managementのスタート・ガイド

• サーバー登録の管理

13.2 ロード・バランシングの管理

2つ以上の管理対象サーバーをクラスタとして動作するように構成し、Access Managerのロード・バランシング設定のためにOracle Access Managementコンソールを使用します。

この節では、以下のトピックについて説明します。

• 共通のロード・バランシング設定について

• OAMサーバーのロード・バランシング設定の管理

13.2.1 共通のロード・バランシング設定について

アプリケーション・パフォーマンスとスループットの向上、または高可用性が求められる本番環境では、2つ以上の管理対象サーバーを構成し、クラスタとして機能させることができます。クラスタとは、同時に稼働し、協調動作によってスケーラビリティと信頼性の向上を実現する、WebLogic Serverの複数のサーバー・インスタンスの集合です。

クラスタ内では、ほとんどのリソースとサービスが(単一の管理対象サーバーではなく)各管理対象サーバーに同じようにデプロイされています。1つのドメインには、複数のWebLogic Serverクラスタが存在していても、クラスタとして構成されていない複数の管理対象サーバーが存在していてもかまいません。クラスタリングされた管理対象サーバーとクラスタリングされていない管理対象サーバーの主な違いは、フェイルオーバーとロード・バランシングのサポートです。これらの機能は、管理対象サーバーのクラスタでしか利用できません。

デフォルトでは、Access Managerは1つのOAMサーバーにすべてのログインおよびログアウト・リクエストを送信します。高可用性デプロイメントでは、この設定を変更してログインおよびログアウト・リクエストが最初にローカル・バランサに送信されるようにする必要があります。

関連項目:

高可用性のAccess Managerデプロイメントを設定する大まかなステップは、『高可用性ガイド』のAccess Managerの高可用性構成のステップに関する項を参照してください。

図13-1に、「Access Managerの設定」ページの「ロード・バランシング」の設定セクションを示します。以前のリリースでは、これはSSOエンジンの設定の一部でした。SSOエンジンはセッションのコントローラです。

図13-1 「Access Managerの設定」: 「ロード・バランサ」

「図13-1 「Access Managerの設定」: 「ロード・バランサ」」の説明

表13-1で、各要素とその使用方法を説明します。設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。

表13-1 「Access Managerの設定」: 「ロード・バランサ」

要素	説明
OAMサーバー・ホスト	OAMサーバー・クラスタを表す仮想ホスト名で、ロード・バランサによってOAMサーバー・クラスタの前に公開される場合があります。
OAMサーバー・ポート	OAMサーバー・クラスタに関連付けられている仮想ホスト・ポート。1から65535の値がサポートされています。
OAMサーバー・プロトコル	プロトコル(HTTPまたはHTTPS)で、OAMサーバー・クラスタを表す仮想ホストにアクセスするために使用されます。 関連項目: 「セキュリティ・モードおよびX509Scheme認証について」

13.2.2 OAMサーバーのロード・バランシング設定の管理

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用してAccess Managerのロード・バランシング設定を変更できます。

関連項目:

「共通のロード・バランシング設定について」

1. 「Access Managerの設定」で、「ロード・バランシング」を開きます。
2. 「ロード・バランシング」エリアを展開します。

   • 表示のみ: 終了する場合はページを閉じます。

   • 変更: デプロイメントのロード・バランシング設定を編集します(表13-1)。

3. 「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
4. 確認ウィンドウを閉じます。

13.3 セキュア・エラー・モードの管理

カスタム・ログイン・アプリケーションの一部として、カスタム・エラー・ページがパッケージされています。すぐに使用可能なカスタムWebアプリケーションのアーカイブ・ファイルが提供されており、カスタマイズされたログイン・ページやパスワード・ページを開発するための開始点として使用できます。

サーバー・エラー・モード設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。この項では次のトピックを記載しています:

• OAMサーバー・エラー・モード

• OAMサーバーのセキュア・エラー・モードの表示または編集

13.3.1 OAMサーバー・エラー・モード

OAMサーバー・エラー・モードは、「Access Managerの設定」ページの「ロード・バランシング」設定エリアに表示されます。

図13-1に、サーバー・エラー・モードの機能を示します。

図13-2 「Access Managerの設定」: 「サーバー・エラー・モード」

「図13-2 「Access Managerの設定」: 「サーバー・エラー・モード」」の説明

表13-2は、デプロイメントのサーバー・エラー・モードを構成するために選択できるオプションについて説明しています。

表13-2 サーバー・エラー・モード

要素	説明
サーバー・エラー・モード	ここで選択する設定によって、操作が失敗したとき(ユーザー名またはパスワードが無効、サーバー・エラー(LDAPサーバーへの接続が切れている)など)にOAMサーバーによって返されるエラー・メッセージの性質や、エラー・コードが決まります。 次のいずれかの設定を選択し、カスタム・ログイン・ページのエラー・メッセージと各セキュリティ・レベルを構成します。 セキュア: セキュリティが最も高い設定。汎用的なエラー・メッセージのみを表示し、エラーの内部的な理由はほとんど何も示されません。 外部: 推奨レベル。 内部: セキュリティ・レベルが最も低い設定。パスワード・ポリシーの検証にお薦めします(「グローバル・パスワード・ポリシーの管理」を参照)。 関連項目: 「OAMサーバーのセキュア・エラー・モードの表示または編集」

表13-3は、3つのモードそれぞれのエラーのトリガー条件とメッセージ・コードを示しています。

表13-3 エラーのトリガー条件、モード、メッセージ・コード

エラーのトリガー条件	内部モード	外部モード	セキュア・モード
無効なログイン試行	OAM-1	OAM-2	OAM-8
送信された資格証明の処理が失敗しました。たとえば、WNAモードでSPNEGOトークンが受信されない場合などです。	OAM-3	OAM-3	OAM-8
認証例外が発生しました。	OAM-4	OAM-4	OAM-9
特定の条件(たとえば、無効な試行回数を超過)に基づいてユーザー・アカウントがロックされています。	OAM-5	OAM-5	OAM-8
ユーザー・アカウントが無効化されています。	OAM-5	OAM-5	OAM-9
ユーザーが許可される最大セッション数(構成可能な属性)を超えました。	OAM-6	OAM-6	OAM-9
デフォルトのエラー・メッセージ。これは特定のメッセージが伝播されていない場合に表示されます。これはユーザー・レベルには伝播されません。複数の発生条件が考えられます。	OAM-7	OAM-7	OAM-9
パスワードの有効期限が切れています。	OAM-10	OAM-10	OAM-9

表13-4に、エラー・コード、トリガー条件、推奨のメッセージを示します。

関連項目:

『Oracle Access Managementでのアプリケーションの開発』のカスタム・エラー・ページの開発に関する項

表13-4 外部エラー・コード、トリガー条件、推奨メッセージ

外部エラー・コード	トリガー条件	推奨される表示メッセージ
OAM-1	許可される回数未満ですがログイン試行が無効です。	指定したユーザー名またはパスワードが正しくありません
OAM-2	許可される回数未満ですがログイン試行が無効です。	指定したユーザー名またはパスワードが正しくありません
OAM-3	送信された資格証明の処理がなんらかの理由で失敗しました。たとえば、WNAモードでSPENGOトークンが受信されない場合などです。	内部エラー。
OAM-4	なんらかの理由で認証例外が発生しました。	システム・エラー。システム管理者に連絡してください。
OAM-5	特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。	ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。
OAM-5	特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIG統合なしのOID: パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。	ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。
OAM-5	ユーザー・アカウントが無効です。	ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。
OAM-6	ユーザーが許可される最大セッション数を超えました。これは構成可能な属性です。	ユーザーはすでにセッションの最大許容数に達しました。ログインを再試行する前に、既存のセッションの1つをクローズしてください。
OAM-7	失敗の原因はいくつか考えられます。セキュリティ上の理由により、正確な理由はユーザー・レベルに伝播されません。次に例を示します。 リクエストIDが失われた可能性がある場合 証明書が正しく取得されていない場合 特定のメッセージが伝播されていない場合、デフォルトのエラー・メッセージが表示されます。	システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。
OAM-8	表13-3を参照してください	認証に失敗しました。
OAM-9	システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。	システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。
OAM-10	パスワードの有効期限が切れています。	パスワードの有効期限が切れました。

13.3.2 OAMサーバーのセキュア・エラー・モードの表示または編集

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用してOAMサーバーのAccess Managerセキュア・エラー・モード設定を表示または編集できます。

関連項目:

「共通のロード・バランシング設定について」

表示または編集するには、次のようにします。

1. 「構成」コンソールで、「設定」セクションの「表示」メニューから「Access Manager」を選択します。
2. 「Access Managerの設定」ページで、「ロード・バランシング」セクションを開きます。
3. サーバー・エラー・モード:

   • 変更: デプロイメントに必要なサーバー・エラー・モードを選択します(表13-2および表13-4)。

   • 表示のみ: 終了する場合はページを閉じます。

4. 「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
5. 確認ウィンドウを閉じます。
6. 「SSOトークンとIPの検証の管理」に進みます。

13.4 SSOトークンとIPの検証の管理

Oracle Access Managementコンソールを使用して、Access ManagerのSSO設定、IPの検証およびSSOトークン・バージョンを変更します。

この項では次のトピックを記載しています:

• Access ManagerのSSOトークンとIPの検証の設定

• SSOトークンとIPの検証の表示または編集

13.4.1 Access ManagerのSSOトークンとIPの検証の設定

「Access Managerの設定」ページには、IPの検証やSSOトークン・バージョンなどの情報があります。

図13-3に、「Access Managerの設定」ページSSOの部分を示します。表13-5で、各要素とその使用方法を説明します。

図13-3 「Access Managerの設定」: 「SSO」

「図13-3 「Access Managerの設定」: 「SSO」」の説明

表13-5 「Access Managerの設定」: 「SSO」

要素	説明
IPの検証	WebGateに固有で、クライアントのIPアドレスがシングル・サインオン用に生成されたObSSOCookieに格納されているIPアドレスと同じかどうかを決定するために使用されます。 IP検証を有効にする場合はボックスを選択します。 IP検証を無効にする場合にボックスをクリアします(構成済のすべてのWebゲートでIP検証が無効になっている場合のみ)。「Webゲート用IPアドレスの検証」を参照してください。
SSOトークン・バージョン	リストからSSOトークン・バージョンを選択します。

13.4.2 SSOトークンとIPの検証の表示または編集

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用してAccess ManagerのSSO設定を表示または編集できます。

関連項目:

「共通のロード・バランシング設定について」

表示または編集するには、次のようにします。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
2. 「構成」コンソールで、「設定」セクションの「表示」メニューから「Access Manager」を選択します。
3. 「SSO」セクションを開きます。

   • 表示のみ: 終了する場合はページを閉じます。

   • 変更: 残りのステップを実行して、構成を編集します。

4. 表13-5の詳細に基づいて、デプロイメントの必要に応じて、設定を編集します。
5. 「適用」をクリックして変更を送信します(または変更を適用しないでページを閉じます)。
6. 確認ウィンドウを閉じます。
7. 「OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理」に進みます。

13.5 OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理

セキュア・サーバー通信モードを構成し、共通OAMプロキシの設定を通じて管理します。

この節では、以下のトピックについて説明します。

• OAMプロキシの簡易および証明書モードのトランスポート・セキュリティ

• セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定

• OAMプロキシの簡易または証明書設定の表示または編集

• 証明書モードでの64ビットWebゲートの構成

• 簡易モードのWebゲートのチューニング

13.5.1 OAMプロキシの簡易および証明書モードのトランスポート・セキュリティ

オープン、簡易および証明書は、セキュア通信のモードであり、これらのモード間には類似性があります。

表13-6は、簡易モードと証明書モードの共通点を示します。

関連項目:

通信の保護

表13-6 サマリー: 簡易モードと証明書モード

アーティファクトまたはプロセス	簡易モード	証明書モード	オープン・モード
X.509デジタル証明書のみ。	X	X	N/A
OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246 (TLS v1)を使用して暗号化されます。	X	X	N/A
それぞれの公開キーに対して、Access Managerがファイルに格納する対応する秘密キーがあります。	aaa_key.pem openSSLにより生成	aaa_key.pem CAにより生成	N/A
プライバシ強化メール(PEM)フォーマットの署名された証明書	openSSLにより生成されるaaa_cert.pem	CAにより生成されるaaa_cert.pem	N/A
OAMサーバーの構成中に、使用するモードに応じて、秘密キーをグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebgateで秘密キーを使用するには、正しいパスフレーズが必要です。	最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ: password.xml	PEMフォーマット: キーストア別名 KEYSTOREStoreキー別名のパスワード	N/A
OAMエージェントまたはOAMサーバーの登録中に、通信モードがOracle Access Managementコンソールに伝播されます。	それぞれのWebgateおよびOAMサーバー・インスタンスについて同じパスフレーズ。	それぞれのWebgateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。	N/A
Webgateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。 ルートCAは、Webgate証明書を返します。この証明書は、Webgateのインストール中またはインストール後にインストールできます。	cacert.pem Oracle提供のopenSSL認証局により署名された証明書リクエスト	aaa_req.pem 使用する認証局により署名された証明書リクエスト	N/A
DESアルゴリズムを使用して秘密キーを暗号化します。たとえば: openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des	N/A	X	N/A
エージェント・キー・パスワード	N/A	「証明書」セキュリティ・モードでエージェントの登録中にパスワードを入力します(表15-1)。	N/A
エージェント登録時に、ObAccessClient.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/	ObAccessClient.xml 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	ObAccessClient.xml 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	ObAccessClient.xml 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir
エージェント登録時に、password.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」	password.xml 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	password.xml 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	N/A
エージェント登録時に、aaa_key.pemが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」	aaa_key.pem 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	aaa_key.pem 次の場所にコピーします。 11g Webゲート: $OHS_Instance_Dir	N/A

13.5.2 セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定

セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定を使用できます。

表13-7は、簡易または証明書モードの構成に必要な設定を示します。

表13-7 サーバー共通のOAMプロキシ・セキュア通信の設定

モード	説明
簡易モード構成	OAMが署名したX.509証明書を使用した通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。 管理者はこのパスフレーズを編集して、それを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。
証明書モード構成	外部の認証局により署名された証明書モードのX.509証明書が存在するキーKEYSTOREStoreに必要な詳細。 PEMキーストア別名 PEMキーストア別名パスワード ノート: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。 管理者は別名とパスワードを編集して、それらを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。

13.5.3 OAMプロキシの簡易または証明書設定の表示または編集

管理者は、共通OAMプロキシの簡易モードまたは証明書モードの設定を表示または編集できます。

関連項目:

• 「コンソールを使用したOAMエージェントの登録」

• 「通信の保護」

表示または編集するには、次のようにします。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
2. 「構成」コンソールで、「設定」セクションの「表示」メニューから「Access Manager」を選択します。
3. 「アクセス・プロトコル」セクションを開きます。
4. 簡易モード構成: OAMが署名したX.509証明書を使用する場合は、「グローバル・パスフレーズ」を追加または変更します。
5. 証明書モードの構成: 次の詳細を指定します。

   • PEMキーストア別名

   • PEMキーストア別名パスワード

6. 「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
7. 必要に応じてエージェント登録ページを更新してアーティファクトを再生成し、「エージェントおよび登録の概要」または「OAMエージェントの登録および管理」の説明に従って初期のアーティファクトを置き換えます。

13.5.4 証明書モードでの64ビットWebゲートの構成

64ビットWebゲートは、現在SHA2 (256,384および512ビット)証明書をサポートしています。

次のコマンドを実行して、証明書モードで64ビットWebゲートを構成します。

<Oracle Middleware Home>/oracle_common/bin/orapki wallet add 
 -wallet $DOMAIN_HOME/output/$Agent_Name/cwallet.sso -trusted_cert 
 -cert <Root CA path .i.e. aaa_chain.pem> -auto_login_only

13.5.5 簡易モードのWebゲートのチューニング

簡易モードのWebゲートを使用している場合、Webゲート・プロファイルのaaaTimeoutThreshold時間パラメータを-1から10に変更することによって、OAMログイン・ページのレスポンス時間を向上させることができます。

AAAタイムアウトしきい値の構成要素の詳細は、「OAMエージェントの登録および管理」の表15-3を参照してください。

13.6 実行時のポリシー評価キャッシュの管理

Access Managerの共通する実行時のポリシー評価キャッシュの設定は、管理者によって管理され、ポリシー評価キャッシュは実行時のポリシー評価中に必要とされます。

この節では、以下のトピックについて説明します。

• 実行時のポリシー評価キャッシュの設定

• 実行時のポリシー評価キャッシュの管理

関連項目:

「実行時リソース評価」

13.6.1 実行時のポリシー評価キャッシュの設定

リソース一致キャッシュおよび認可結果キャッシュが設定され、実行時のポリシー評価中に必要とされます。

図13-4に、「Access Managerの設定」ページの「ポリシー」セクションを示します。

図13-4 共通ポリシー評価キャッシュ

「図13-4 共通ポリシー評価キャッシュ」の説明

表13-8は、すべてのサーバーおよびリクエストに適用されるこれらのグローバル設定の概要を示します。

表13-8 ポリシー評価キャッシュ

要素	説明
リソース一致キャッシュ	リクエストされたURLと、そのURLに適用されるリソース・パターンを保持するポリシー間のマッピングをキャッシュ化します。 デフォルト値: 最大サイズは100000で、ゼロでキャッシュが無効になります。 存続時間(秒) 3600。ゼロは存続時間が無効になります。
認可結果キャッシュ	リクエストされたURLおよびユーザーのポリシー決定をキャッシュ化します。 デフォルト値: 最大サイズは100000で、ゼロでキャッシュが無効になります。 ユーザー当たりの最大サイズは100で、ゼロでキャッシュが無効になります。 存続時間(秒) 3600。ゼロは存続時間が無効になります。 関連項目: パフォーマンスのチューニング

関連項目:

システムおよびポリシー構成のためのポーリング間隔

13.6.2 実行時のポリシー評価キャッシュの管理

管理者は、Access Managerの共通する実行時のポリシー評価キャッシュの設定を管理します。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
2. 「構成」コンソールで、「設定」セクションの「表示」メニューから「Access Manager」を選択します。
3. 「ポリシー」セクションを開きます。
4. リソース一致キャッシュ: 詳細を指定して「適用」をクリックします(表13-8)。
5. 認可結果キャッシュ: 詳細を指定して「適用」をクリックします(表13-8)。
6. 「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。

関連項目:

• 高可用性ガイド

• パフォーマンスのチューニング