13 Access Managerの設定の構成
Access Managerの設定では、いくつかの特定のAccess Managerサービスの操作に対して構成オプションが用意されています。
この章では、次のAccess Manager固有の設定について説明します。
13.1 Oracle Access Managementの概要
構成オプションおよびサービス操作を開始する前に、Oracle Access Management、サーバー登録および管理について理解します。
次のトピックを確認してください。
13.2 ロード・バランシングの管理
2つ以上の管理対象サーバーをクラスタとして動作するように構成し、Access Managerのロード・バランシング設定のためにOracle Access Managementコンソールを使用します。
この節では、以下のトピックについて説明します。
13.2.1 共通のロード・バランシング設定について
アプリケーション・パフォーマンスとスループットの向上、または高可用性が求められる本番環境では、2つ以上の管理対象サーバーを構成し、クラスタとして機能させることができます。クラスタとは、同時に稼働し、協調動作によってスケーラビリティと信頼性の向上を実現する、WebLogic Serverの複数のサーバー・インスタンスの集合です。
クラスタ内では、ほとんどのリソースとサービスが(単一の管理対象サーバーではなく)各管理対象サーバーに同じようにデプロイされています。1つのドメインには、複数のWebLogic Serverクラスタが存在していても、クラスタとして構成されていない複数の管理対象サーバーが存在していてもかまいません。クラスタリングされた管理対象サーバーとクラスタリングされていない管理対象サーバーの主な違いは、フェイルオーバーとロード・バランシングのサポートです。これらの機能は、管理対象サーバーのクラスタでしか利用できません。
デフォルトでは、Access Managerは1つのOAMサーバーにすべてのログインおよびログアウト・リクエストを送信します。高可用性デプロイメントでは、この設定を変更してログインおよびログアウト・リクエストが最初にローカル・バランサに送信されるようにする必要があります。
関連項目:
高可用性のAccess Managerデプロイメントを設定する大まかなステップは、『高可用性ガイド』のAccess Managerの高可用性構成のステップに関する項を参照してください。
図13-1に、「Access Managerの設定」ページの「ロード・バランシング」の設定セクションを示します。以前のリリースでは、これはSSOエンジンの設定の一部でした。SSOエンジンはセッションのコントローラです。
表13-1で、各要素とその使用方法を説明します。設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。
表13-1 「Access Managerの設定」: 「ロード・バランサ」
要素 | 説明 |
---|---|
OAMサーバー・ホスト |
OAMサーバー・クラスタを表す仮想ホスト名で、ロード・バランサによってOAMサーバー・クラスタの前に公開される場合があります。 |
OAMサーバー・ポート |
OAMサーバー・クラスタに関連付けられている仮想ホスト・ポート。1から65535の値がサポートされています。 |
OAMサーバー・プロトコル |
プロトコル(HTTPまたはHTTPS)で、OAMサーバー・クラスタを表す仮想ホストにアクセスするために使用されます。 |
13.3 セキュア・エラー・モードの管理
カスタム・ログイン・アプリケーションの一部として、カスタム・エラー・ページがパッケージされています。すぐに使用可能なカスタムWebアプリケーションのアーカイブ・ファイルが提供されており、カスタマイズされたログイン・ページやパスワード・ページを開発するための開始点として使用できます。
サーバー・エラー・モード設定はグローバルで、WebLogic管理ドメインのすべてのOAMサーバーに共通です。この項では次のトピックを記載しています:
13.3.1 OAMサーバー・エラー・モード
OAMサーバー・エラー・モードは、「Access Managerの設定」ページの「ロード・バランシング」設定エリアに表示されます。
表13-2 サーバー・エラー・モード
要素 | 説明 |
---|---|
サーバー・エラー・モード |
ここで選択する設定によって、操作が失敗したとき(ユーザー名またはパスワードが無効、サーバー・エラー(LDAPサーバーへの接続が切れている)など)にOAMサーバーによって返されるエラー・メッセージの性質や、エラー・コードが決まります。 次のいずれかの設定を選択し、カスタム・ログイン・ページのエラー・メッセージと各セキュリティ・レベルを構成します。
|
表13-3は、3つのモードそれぞれのエラーのトリガー条件とメッセージ・コードを示しています。
表13-3 エラーのトリガー条件、モード、メッセージ・コード
エラーのトリガー条件 | 内部モード | 外部モード | セキュア・モード |
---|---|---|---|
無効なログイン試行 |
OAM-1 |
OAM-2 |
OAM-8 |
送信された資格証明の処理が失敗しました。たとえば、WNAモードでSPNEGOトークンが受信されない場合などです。 |
OAM-3 |
OAM-3 |
OAM-8 |
認証例外が発生しました。 |
OAM-4 |
OAM-4 |
OAM-9 |
特定の条件(たとえば、無効な試行回数を超過)に基づいてユーザー・アカウントがロックされています。 |
OAM-5 |
OAM-5 |
OAM-8 |
ユーザー・アカウントが無効化されています。 |
OAM-5 |
OAM-5 |
OAM-9 |
ユーザーが許可される最大セッション数(構成可能な属性)を超えました。 |
OAM-6 |
OAM-6 |
OAM-9 |
デフォルトのエラー・メッセージ。これは特定のメッセージが伝播されていない場合に表示されます。これはユーザー・レベルには伝播されません。複数の発生条件が考えられます。 |
OAM-7 |
OAM-7 |
OAM-9 |
パスワードの有効期限が切れています。 |
OAM-10 |
OAM-10 |
OAM-9 |
表13-4に、エラー・コード、トリガー条件、推奨のメッセージを示します。
関連項目:
『Oracle Access Managementでのアプリケーションの開発』のカスタム・エラー・ページの開発に関する項
表13-4 外部エラー・コード、トリガー条件、推奨メッセージ
外部エラー・コード | トリガー条件 | 推奨される表示メッセージ |
---|---|---|
OAM-1 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
OAM-2 |
許可される回数未満ですがログイン試行が無効です。 |
指定したユーザー名またはパスワードが正しくありません |
OAM-3 |
送信された資格証明の処理がなんらかの理由で失敗しました。たとえば、WNAモードでSPENGOトークンが受信されない場合などです。 |
内部エラー。 |
OAM-4 |
なんらかの理由で認証例外が発生しました。 |
システム・エラー。システム管理者に連絡してください。 |
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-5 |
特定の条件が原因で(たとえば、無効な試行回数を超過)ユーザー・アカウントがロックされています。 OIG統合なしのOID: パスワードの検証後、「エラー」ページに連絡先詳細が表示されます。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-5 |
ユーザー・アカウントが無効です。 |
ユーザー・アカウントがロックされているか、無効です。 システム管理者に連絡してください。 |
OAM-6 |
ユーザーが許可される最大セッション数を超えました。これは構成可能な属性です。 |
ユーザーはすでにセッションの最大許容数に達しました。ログインを再試行する前に、既存のセッションの1つをクローズしてください。 |
OAM-7 |
失敗の原因はいくつか考えられます。セキュリティ上の理由により、正確な理由はユーザー・レベルに伝播されません。次に例を示します。
特定のメッセージが伝播されていない場合、デフォルトのエラー・メッセージが表示されます。 |
システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
OAM-8 |
表13-3を参照してください |
認証に失敗しました。 |
OAM-9 |
システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
システム・エラー。アクションを再試行してください。このエラーが続く場合は、管理者に連絡してください。 |
OAM-10 |
パスワードの有効期限が切れています。 |
パスワードの有効期限が切れました。 |
13.4 SSOトークンとIPの検証の管理
Oracle Access Managementコンソールを使用して、Access ManagerのSSO設定、IPの検証およびSSOトークン・バージョンを変更します。
この項では次のトピックを記載しています:
13.4.1 Access ManagerのSSOトークンとIPの検証の設定
「Access Managerの設定」ページには、IPの検証やSSOトークン・バージョンなどの情報があります。
表13-5 「Access Managerの設定」: 「SSO」
要素 | 説明 |
---|---|
IPの検証 |
WebGateに固有で、クライアントのIPアドレスがシングル・サインオン用に生成されたObSSOCookieに格納されているIPアドレスと同じかどうかを決定するために使用されます。 IP検証を有効にする場合はボックスを選択します。 IP検証を無効にする場合にボックスをクリアします(構成済のすべてのWebゲートでIP検証が無効になっている場合のみ)。「Webゲート用IPアドレスの検証」を参照してください。 |
SSOトークン・バージョン |
リストからSSOトークン・バージョンを選択します。 |
13.5 OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理
セキュア・サーバー通信モードを構成し、共通OAMプロキシの設定を通じて管理します。
この節では、以下のトピックについて説明します。
13.5.1 OAMプロキシの簡易および証明書モードのトランスポート・セキュリティ
オープン、簡易および証明書は、セキュア通信のモードであり、これらのモード間には類似性があります。
表13-6は、簡易モードと証明書モードの共通点を示します。
関連項目:
表13-6 サマリー: 簡易モードと証明書モード
アーティファクトまたはプロセス | 簡易モード | 証明書モード | オープン・モード |
---|---|---|---|
X.509デジタル証明書のみ。 |
X |
X |
N/A |
OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246 (TLS v1)を使用して暗号化されます。 |
X |
X |
N/A |
それぞれの公開キーに対して、Access Managerがファイルに格納する対応する秘密キーがあります。 |
aaa_key.pem openSSLにより生成 |
aaa_key.pem CAにより生成 |
N/A |
プライバシ強化メール(PEM)フォーマットの署名された証明書 |
openSSLにより生成されるaaa_cert.pem |
CAにより生成されるaaa_cert.pem |
N/A |
OAMサーバーの構成中に、使用するモードに応じて、秘密キーをグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebgateで秘密キーを使用するには、正しいパスフレーズが必要です。 |
最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ:
|
PEMフォーマット:
|
N/A |
OAMエージェントまたはOAMサーバーの登録中に、通信モードがOracle Access Managementコンソールに伝播されます。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて同じパスフレーズ。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。 |
N/A |
Webgateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。 ルートCAは、Webgate証明書を返します。この証明書は、Webgateのインストール中またはインストール後にインストールできます。 |
cacert.pem Oracle提供のopenSSL認証局により署名された証明書リクエスト |
aaa_req.pem 使用する認証局により署名された証明書リクエスト |
N/A |
DESアルゴリズムを使用して秘密キーを暗号化します。たとえば: openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des |
N/A |
X |
N/A |
エージェント・キー・パスワード |
N/A |
「証明書」セキュリティ・モードでエージェントの登録中にパスワードを入力します(表15-1)。 |
N/A |
エージェント登録時に、ObAccessClient.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ |
ObAccessClient.xml 次の場所にコピーします。
|
ObAccessClient.xml 次の場所にコピーします。
|
ObAccessClient.xml 次の場所にコピーします。
|
エージェント登録時に、password.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」 |
password.xml 次の場所にコピーします。
|
password.xml 次の場所にコピーします。
|
N/A |
エージェント登録時に、aaa_key.pemが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」 |
aaa_key.pem 次の場所にコピーします。
|
aaa_key.pem 次の場所にコピーします。
|
N/A |
13.5.2 セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定
セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定を使用できます。
表13-7は、簡易または証明書モードの構成に必要な設定を示します。
表13-7 サーバー共通のOAMプロキシ・セキュア通信の設定
モード | 説明 |
---|---|
簡易モード構成 |
OAMが署名したX.509証明書を使用した通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。 管理者はこのパスフレーズを編集して、それを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。 |
証明書モード構成 |
外部の認証局により署名された証明書モードのX.509証明書が存在するキーKEYSTOREStoreに必要な詳細。
ノート: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。 管理者は別名とパスワードを編集して、それらを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。 |
13.5.3 OAMプロキシの簡易または証明書設定の表示または編集
管理者は、共通OAMプロキシの簡易モードまたは証明書モードの設定を表示または編集できます。
表示または編集するには、次のようにします。
13.5.4 証明書モードでの64ビットWebゲートの構成
64ビットWebゲートは、現在SHA2 (256,384および512ビット)証明書をサポートしています。
次のコマンドを実行して、証明書モードで64ビットWebゲートを構成します。
<Oracle Middleware Home>/oracle_common/bin/orapki wallet add -wallet $DOMAIN_HOME/output/$Agent_Name/cwallet.sso -trusted_cert -cert <Root CA path .i.e. aaa_chain.pem> -auto_login_only
13.5.5 簡易モードのWebゲートのチューニング
簡易モードのWebゲートを使用している場合、Webゲート・プロファイルのaaaTimeoutThreshold
時間パラメータを-1から10に変更することによって、OAMログイン・ページのレスポンス時間を向上させることができます。
AAAタイムアウトしきい値の構成要素の詳細は、「OAMエージェントの登録および管理」の表15-3を参照してください。
13.6 実行時のポリシー評価キャッシュの管理
Access Managerの共通する実行時のポリシー評価キャッシュの設定は、管理者によって管理され、ポリシー評価キャッシュは実行時のポリシー評価中に必要とされます。
この節では、以下のトピックについて説明します。
関連項目:
13.6.1 実行時のポリシー評価キャッシュの設定
リソース一致キャッシュおよび認可結果キャッシュが設定され、実行時のポリシー評価中に必要とされます。
表13-8 ポリシー評価キャッシュ
要素 | 説明 |
---|---|
リソース一致キャッシュ |
リクエストされたURLと、そのURLに適用されるリソース・パターンを保持するポリシー間のマッピングをキャッシュ化します。 デフォルト値:
|
認可結果キャッシュ |
リクエストされたURLおよびユーザーのポリシー決定をキャッシュ化します。 デフォルト値:
関連項目: パフォーマンスのチューニング |
関連項目:
13.6.2 実行時のポリシー評価キャッシュの管理
管理者は、Access Managerの共通する実行時のポリシー評価キャッシュの設定を管理します。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
- 「構成」コンソールで、「設定」セクションの「表示」メニューから「Access Manager」を選択します。
- 「ポリシー」セクションを開きます。
- リソース一致キャッシュ: 詳細を指定して「適用」をクリックします(表13-8)。
- 認可結果キャッシュ: 詳細を指定して「適用」をクリックします(表13-8)。
- 「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
関連項目:
-
高可用性ガイド
-
パフォーマンスのチューニング