16 Access Managerセッションの維持
Access Managerセッションは認証中に作成され、認証したユーザーおよびクライアントにバインドされます。Access Managerセッションは、特定のセッション・ライフサイクルの間維持され、追跡およびポリシー強制を行います(管理者によって手動で、または自動化されたフローを使用して実行されます)。
Access Managerセッションのライフサイクルは、セッションの作成、更新、アイドルおよび期限切れの状態遷移で構成されています。
次の各トピックでは、Access Managerのセッションの概念および手順について説明します。
16.1 Access Managerのセッション管理の概要
Oracle Access Managementのこの12.2.1.3.0リリースでは、Access Managerセッションは、データベースによって支えられたサーバー側で管理されます。
OAM 12.2.1.3.0サーバーは、データベースに支えられたサーバー側セッション・マネージャをサポートして、OAMサーバー・クラスタの複数ノードの全体でセッション状態を同期させます。セッションは、AM_SESSION表に保存されます。
セッション・マネージャは、OAMサーバーによって一意に識別されたアクティブなセッションのデータを処理します。セッションのライフサイクルは、クライアント側にセッションIDを格納することによってサーバー側で管理されます。セッションIDは、OAM 12cサーバーに格納されたユーザー・セッションを一意に識別し、以降のリクエストにおいてサーバー・セッション・ストアからセッションをフェッチし、クライアントの状態を識別するために使用されます。
OAMサーバーはセッションをトークン(セッション・トークン)に変換し、レスポンスに入れて送信します。トークンには、あとでセッションを再構築するために以降のアクセスでデータベースに問い合わせる情報が含まれます。以降のリクエストで、トークンがリクエストから取得されてセッションを識別およびフェッチし、ログインしているユーザーのすべての詳細を取得します。
サーバー側セッションがデータベースに支えられているため、データベースからフェッチされるセッションがアクセス操作時に失敗しないように、データベースが常に使用可能である必要があります。OAM 12.2.1.3.0には、データベースが使用できないときにアクセス操作をサポートするTokenized Session Managementが用意されています。
データベース使用不能シナリオ
OAM 12.2.1.3.0では、次のシナリオのみがセッション・マネージャによりデータベース使用不能状態とみなされます。
-
データベースが停止している
-
接続プールの枯渇のため、データベースに接続するための空き接続がない
-
ネットワーク遅延の問題のため、データベース接続性およびデータベース操作の遅延が悪化する
ノート:
OAMドメインの管理サーバー、ポリシー・マネージャおよびOAMランタイム・サーバーの起動時に、データベースが使用できる必要があります。Tokenized Sessionは、データベース使用不能時に次の機能をサポートします。
表16-1 データベースが使用できないときにサポートされる機能
データベースが使用できないときにサポートされる機能とコンポーネント | シナリオ |
---|---|
WebGate 11g | 認証、認可(セッション制約なし)およびSSOフロー |
Webgate 12c | 認証、認可(セッション制約なし)およびSSOフロー |
Java ASDK | ASDK操作
ノート: セッションに関連したASDK操作はサポートされません。 |
OAuth | 非セッション・リンク・シナリオ |
Tokenized Session Managementは、データベース使用不能時に次の機能をサポートしません。
表16-2 データベースが使用できないときにサポートされない機能
DBが使用できないときにサポートされない機能およびコンポーネント(サーバー側セッションに依存しているため) | 説明 |
---|---|
Java ASDK | DB可用性は、ASDKセッション操作が機能するために必須です |
セッション・レスポンス | DB可用性は、セッション・レスポンスが機能するために必須です。 |
セッション・スナイプ | DB可用性が必須です。DBがセッション・スナイプ後に使用できない場合、すでに確立されたセッションからの認可の動作はセッション・ポリシーに基づいて定義されます |
リモート・セッションのキル | DB可用性が必須です |
OAuth MDCセッション・リンク | フローにOAuthトークンとOAM_IDの同期の問題があるためDB可用性が必須。 |
DCC/NAPトンネリング | 未サポート/未認定 |
LDAPプリフェッチ | DBが停止していると、LDAPプリフェッチは機能しません。認可時に、アイデンティティ認可制約を評価するために追加のLDAP問合せが必要になる可能性があります。 |
oamconsole | DBが停止している場合、管理操作はサポートされません |
16.2 サーバー側セッション管理の理解
OAM 12.2.1.3.0サーバーは、データベースに支えられたサーバー側セッション・マネージャをサポートして、OAMサーバー・クラスタの複数ノードの全体でセッション状態を同期させます
次の各トピックでは、サーバー側セッション管理の概要について説明します。
16.2.1 Access Managerセッションの保護について
セッションのセキュリティは、安全なインストールから始まります。
インストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementのインストールと構成の準備に関する項を参照してください。
関連項目:
Oracle Fusion Middlewareコンポーネント間のSSLによるセキュア通信の構成の詳細は、『Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSLの構成に関する項
HTTPSプロトコルおよびデータベース暗号化は、Access Managerがサーバー側セッションのセキュリティをサポートする手段の一部です。次のリストでは、このサポートの仕組みについて説明します。
-
HTTPSプロトコル
Access Managerは、プロキシによるIPアドレス・チェックを提供することでセッションの固定化防止に役立ちます。セッション固定化の防止効果をさらに高めるために、WebゲートおよびOAMサーバーの間ではセキュアHTTPSプロトコルを使用してください。
-
データベースの暗号化
このセッション管理エンジンはデータを暗号化しません。セキュリティ上の懸念がある場合は、Oracle Advanced Securityなどを使用してデータベース内を暗号化します。
16.2.2 Access Managerセッションのライフサイクル、状態および実施
セッション・ライフサイクルは、定義されているある状態から別の状態への遷移を含む状態のセットです。この遷移は、ユーザーのアクティビティ(またはその欠如)や手動(または自動)の管理者アクティビティにより異なります。
管理者は、次のグローバル・セッション・ライフサイクル設定を定義できます。
-
セッションのライフタイム
-
アイドル・タイムアウト
ノート:
アイドル・タイムアウトは、アプリケーション固有の設定としても実装できます(後述)。
-
セッションの最大数
「グローバル・セッション・ライフサイクル設定」を参照してください。
表16-3に、セッション・ライフサイクルの各状態を示します。
表16-3 セッション・ライフサイクルの状態
状態 | 説明 |
---|---|
アクティブ |
新たに作成されたセッションはアクティブです。ユーザーがAccess Managerによって認証されるとセッションが作成されます。 セッションは、この表内の別の状態のいずれかに遷移する必要があるとAccess Managerが判断するまで、アクティブな状態を維持します。 ノート: 管理者が削除できるのは、アクティブなセッションのみです。 |
アイドル |
ユーザーがAccess Managerによって保護されているコンテンツにアクセスしない状態が、管理者により定義された期間継続すると、セッションはアイドルになります。 アクティブ・セッションがアイドルになると、先に進む場合、ユーザーは再認証する必要があります。再認証に成功すると、セッションはアクティブな状態に戻ります。セッションの属性値はこのプロセスを通して保持されます。 |
期限切れ |
セッションの期間が定義されたライフタイムを超えると、アクティブなセッションは期限切れとなります。期限切れのセッションは、完全にアクセス不能で、削除の対象となります。アクティブ・セッションが期限切れになると、先に進む場合、ユーザーは再認証する必要があります。 再認証に成功すると、新しいセッションが作成されます。ただし、(アイドル状態のように)セッション属性値が保持されることはありません。 |
16.2.2.1 状態変更のためのグローバル・セッションの実施チェック
各Access Managerセッションは、2つの時間属性および適用可能な値を保持します。
表16-4 状態変更のためのセッション・チェック
セッション・チェック | 説明 |
---|---|
セッションはアイドルか。 |
最終アクセス時間を構成されているアイドル・タイムアウト値と比較します。構成されている期間を超えている場合、アクティブからアイドルの状態への変更がトリガーされます。 |
セッションは期限切れか。 |
セッションの作成時間を構成されているセッションの存続期間と比較します。構成されている期間を超えている場合、アクティブから期限切れの状態への変更がトリガーされます。 |
アイドル状態への遷移の際、基盤となるセッション属性は保持されます。これは、ユーザーが以前満たしていた認証条件およびデータが信頼できるためです。ただし、そのセッションに基づいて保護されているリソースや、そのセッション内のデータの変更結果に引き続きアクセスすることは、ユーザーが再認証を行い、ロック解除されたコンピュータへのアクセス権を持つ悪意のあるユーザーでないことを証明するまで、許可されません。
16.2.2.2 Access Managerセッションの削除
セッションは、期限切れ、ユーザー・ログアウトおよび終了の3つのアクションによって削除できます。
表16-5で、セッションの削除アクションについて説明します。
表16-5 セッションの削除
アクション | 説明 |
---|---|
期限切れ |
期限切れのセッションは、その作成時間に基づいて、削除の対象となります。実際の削除は、格納メカニズムによって決定されます。セッションは、サーバーで実行されるバックグラウンド・タスクを使用して分散キャッシュから削除され、同様のバックグラウンド・タスク、オプションで有効となるデータベース内のジョブ、または両方の方法を組み合せて使用して、データベースから削除されます。 セッションがすべての層の記憶域(ローカルおよび分散キャッシュ、および有効な場合、データベース)から削除されると、そのセッションは完全に除去されます。 |
ユーザー・ログアウト |
ユーザー・ログアウトにより、現在のデータベース・セッションの書込みおよびパフォーマンスの量に従い、分散キャッシュからの迅速な削除がトリガーされます。 |
終了 |
終了は、管理コンソールによりセッションが対話的に終了されるのか、Oracle Identity Managementのユーザー・ロックアウトまたはプロビジョニング解除フローの一部として自動的に行われるのかに関係なく、ユーザー・ログアウトと同じです。 |
16.2.2.3 認証および資格証明のステップアップおよびステップダウンについて
ステップアップ・フローを完了するために、単一のセッションで複数の認証フォームが必要となり、実行される場合があります。再認証レベルは、セッションからのステップダウンの場合もあります。
ステップアップ・フローでは、ユーザーが保護されたコンテンツにアクセスするために認証した後、同じセッション内で、より機密性の高い別のコンテンツをリクエストすると、それにアクセスするため、より厳しいレベルで再度認証を要求されます。ステップアップ・フローでは、常に、認証レベルが上昇する順に、複数の認証が発生します。各セッションでは、ステップアップ認証実行の認証レベル属性を保持します。
再認証レベルが、前にセッションに含まれていたレベルより低い場合、ユーザーによりステップダウン・プロセスが行われています。正常に再認証すると、セッションは、使用された認証スキームのうち低い方と等しい認証レベルで、アクティブな状態に復元されます。後でユーザーが、より高いレベルで保護されたコンテンツにアクセスを試みると、ステップアップ認証が発生します。
16.2.2.4 オプションのアプリケーション固有セッションの実施
Access Managerは、1セットのグローバル・セッション・タイミング、またはアクセスが単一の認証レベルのみに依存する1セットの認証スキームで可能な方法より粒度の細かい方法で、リソースへのユーザー・アクセスを制限します。特定のデータへのアクセスには、より厳しい要件がありますが、その他すべてのデータへのアクセスは、グローバルに構成されます。
管理者は、アプリケーション・ドメイン設定の一部として定義されたグローバル・セッション・タイムアウト設定を、アプリケーションごとにオーバーライドできます。オプションのアプリケーション固有セッションの設定では、次の機能が提供されます。
-
アプリケーションごとにセッション・アイドルのタイミングを宣言する機能。これは一般的に、デプロイメント全体で定義されているグローバル・アイドルのタイミングより厳しくなります。
-
アプリケーションごとのセッション非アクティブのタイムアウトの後、ユーザーに再認証を要求する機能。
表16-6では、グローバル・セッション設定に対するアプリケーション・ドメイン固有のオーバーライドを定義した場合のセッションの実施について説明します。
表16-6 アプリケーション・ドメイン固有のオーバーライド
オーバーライド | 説明 |
---|---|
セッションはアイドルか。 |
最終アクセス時間を、定義したアプリケーション・ドメインのみに対して構成されているアイドル・タイムアウト値と比較します。構成されている期間を超えている場合、アクティブからアイドルの状態への変更がトリガーされます。 |
セッションは期限切れか。 |
セッションの作成時間を構成されているセッションの存続期間と比較します。構成されている期間を超えている場合、定義したアプリケーション・ドメイン・グループのみに対して、アクティブから期限切れの状態への変更がトリガーされます。 |
16.3 サーバー側セッションの実施例
特定のレベルの認証スキームを満たすと、それより低いレベルで保護されているすべてのリソースへのアクセスが可能となります。さらに、特定のレベルのすべての認証スキームが、同等として表示されます。
この項では、2つのアプリケーション・ドメインで使用される単一の認証スキームに基づく簡単なセッション実施例と、2つのアプリケーション・ドメインで使用される複数の認証スキームに基づくより複雑な例を示します。
16.3.1 例1: 単一の認証スキーム
次の構成について考えます。
-
レベル2を使用して定義された単一の認証スキーム(S1)
-
アプリケーション・ドメインD1およびD2
-
各ドメイン内のすべてのリソースは、S1を使用する単一の認証ポリシーと単一の認可ポリシーにより保護されています。
-
グローバル・セッション構成:
-
セッションの存続期間: 90分
-
アイドル・セッション・タイムアウト: 0 (セッションがアイドル・タイムアウトすることはありません)
-
アプリケーション・ドメイン・タイムアウト: 30分
-
今度は、表16-7の結果について考えます。
表16-7 セッションの内容: 単一の認証スキーム
時間(デルタ) | アクション | アクセスの許可または拒否 | セッションの内容 |
---|---|---|---|
0 |
D1へのアクセス |
セッションがないため拒否 |
null |
1 |
S1による認証とD1へのアクセス |
認証スキームが満たされているため許可 |
レベル2、認証時間1 |
21 |
D2へのアクセス |
許可 |
レベル2、認証時間1 |
66 |
D1へのアクセス |
アプリケーション・ドメイン・タイムアウト(構成されているパラメータに基づく)により拒否 |
レベル2、認証時間1 |
67 |
S1による認証とD1およびD2へのアクセス |
認証スキームが満たされているためどちらも許可 |
レベル2、認証時間67 |
16.3.2 例2: 複数の認証スキーム
通常、セッションがタイムアウトするとステップダウン認証が発生します。これは、セッションで以前保持していた最大のレベルのスキームを満たす新しい資格証明をユーザーが提供するまで継続します。そうしない場合、認証の観点からは、セッションは新規で、さらなるステップアップが必要であるように見えます。次の2つの認証スキーム(ステップアップとステップダウン)のある例を考えます。
-
認証スキームS1 (レベル2)およびS2 (レベル3)
-
アプリケーション・ドメインD1およびD2
-
各ドメイン内のすべてのリソースは、単一の認証ポリシーと単一の認可ポリシーにより保護されています。
-
D1はS1を使用、D2はS2を使用
-
グローバル・セッション構成:
-
セッションの存続時間: 240分
-
アイドル・タイムアウト: 30分
-
Appdomain 2 (D2)タイムアウト: 15分(appdomain設定)
-
D1のリソースにアクセスすると、タイムアウトは30分後(グローバル・タイムアウト設定)に発生します。D2タイムアウトは、タイムアウト値がグローバル・レベルでオーバーライドされているため、15分後に発生します。表16-8に結果を示します。
表16-8 セッションの結果: 複数の認証スキーム
時間(デルタ) | アクション | アクセスの許可または拒否 | セッションの内容 |
---|---|---|---|
0 |
D1リソース(RD1)へのアクセス |
ログイン成功後にアクセス許可 |
D1のタイムアウトは、0+30=30に設定されます(D1はアプリケーション・ドメイン・レベルでタイムアウトをオーバーライドしていないため、30はデフォルトのグローバル・タイムアウトです)。 |
1 (1分後を意味します) |
D2リソース(RD2)へのアクセス |
資格証明のチャレンジ後にアクセス許可(D2はより高い認証スキームを使用して保護されているため、ユーザーは資格証明を要求されます) |
D2のタイムアウトは、1+15=16に設定されます。 |
t>16かつt<30 (t=20など) |
RD1およびRD2へのアクセス |
タイムアウトがD1=30のためRD1へのアクセス許可。タイムアウトがD2=16のため、資格証明の指定後にRD2へのアクセス許可 |
新しいD2のタイムアウトは16です。 |
40 |
RD1へのアクセス |
許可: D1リソースはタイムアウトが50のため許可 |
|
55 |
RD1およびRD2へのアクセス |
ユーザーが資格証明に対して正常にチャレンジされた後、両方のリソースへのアクセスを許可 |
D1のタイムアウトは現在85 (55+30)です。 D2のタイムアウトは現在70 (55+15)です。 |
アクセス順序は結果に影響を及ぼします。たとえば、資格証明の期限が切れた後、まずD2アプリケーションへのアクセスを続けることをユーザーが選択した場合、最後のD1アクセスは許可される可能性があります。たとえば:
-
D2へのアクセスが許可された状態での認証S2: L3スキームは満たされ、現在アクティブなセッションのレベルは(再度)以前と同じになります。セッションの内容: レベル3、認証時間51
-
D1へのアクセス許可: レベル2で保護されたアクセスには、レベル3の資格証明でも十分です。セッションの内容: レベル3、認証時間51
16.4 サーバー側セッション・ライフサイクルの構成
セッション・ライフサイクルの設定は、Oracle Access Managementコンソールを使用して定義できます。グローバルまたはアプリケーション固有のセッション・ライフサイクル設定を定義する際、タイミング間隔を0に設定すると、対応するチェックが取り消されます。
たとえば、アイドル・タイムアウトを0に設定すると、セッションがアイドル・タイムアウトすることはありません。セッションの存続期間を0にすると、セッションは期限切れになりません。すべての場合において、適用可能なデータは、リクエストごとにチェックされるかのように、セッションで追跡され、更新されます。
この項では次のトピックを記載しています:
16.4.1 グローバル・セッション・ライフサイクル設定
Access Managerセッションのライフサイクル設定は、すべてのOAMサーバーが共有する共通設定の一部として定義されます。
図16-1は、「共通設定」ページの構成可能なライフサイクル属性を示しています。
表16-9では、グローバル・セッションのライフサイクル設定およびそのデフォルトについて説明します。セッションは、切断モードで動作することができます。したがって、セッション規則を確立する構成の変更は、新しいセッションだけに適用されます。変更をただちに適用する場合は、既存のセッションを終了し、ユーザーには新規則に適合するセッションを新たに作成させることをお薦めします。
関連項目:
表16-9 グローバル・セッション設定
設定 | 説明 |
---|---|
セッションの存続期間(分) |
ユーザーの認証セッションがアクティブな状態に維持される分単位の時間。ライフタイムに達すると、そのセッションは期限切れとなります。 デフォルト = 1440分(整数表現の分数で表した24時間) ゼロ(0)は、この設定を無効にします。0(ゼロ)から2147483647の任意の値が許可されます。 ノート:
|
アイドル・タイムアウト(分) |
ユーザーの認証セッションが、Access Managerで保護されたリソースにアクセスすることなくアクティブな状態に維持される分単位の時間。これよりも長い時間アイドル状態が続くと、ユーザーは再認証を求められます。 デフォルト=15分 ゼロ(0)は、この設定を無効にします。0(ゼロ)から2147483647の任意の値が許可されます。 ノート:
|
1ユーザーの最大セッション数 |
各ユーザーが同時に持つことのできるセッションの数。すべてのユーザーに対する複数セッション制限を構成するには、この設定を使用します。 正の整数が許可されます。 このカウントに"1"を指定すると、特殊モードがアクティブ化されます。ユーザーが別のデバイスを使用してセッションの認証を済ませている(つまり、新しいセッションを作成する)場合、そのユーザーの既存のセッションは削除されます。エラーの報告も、警告の表示もありません。 ノート:
|
(管理)最大検索結果数 |
結果セットが大きい場合、セッション問合せに対してデフォルトでフェッチされるセッションの数を示します。 |
16.4.2 システムおよびポリシー構成のためのポーリング間隔
OAMシステム構成ストアおよびポリシー・ストアは、次のポーリング間隔で変更がポーリングされます。
OAM 12.2.1.3.0では、ポリシーおよびシステム構成は、プルベース・モデルで同期されます。これは、個々のOAMサーバー・ノードが、対応する構成の変更をポーリングすることで動作します。
表16-10 デフォルト・ポーリング間隔
構成 | デフォルト・ポーリング間隔(ミリ秒および秒単位) |
---|---|
システム構成ストア | 30000ミリ秒ごと(30秒) |
ポリシー・ストア | 30000ミリ秒ごと(30秒) |
OAM Config MBeanは構成ストアから変更をリロードします | 30000ミリ秒ごと(30秒) |
表16-10にリストされたすべての構成に対して、oracle.oam.EntityRefreshIntervalMillis
システム・プロパティを使用してポーリング間隔を構成できます。
たとえば、ポリシー・ストア・ポーリング間隔を60秒に変更するには、次のように設定します。
-D oracle.oam.EntityRefreshIntervalMillis=60000
16.4.3 アプリケーション固有のセッション・オーバーライド
アプリケーション固有のアクセスは、最初のアプリケーションのアクセス時から追跡され、そのアプリケーション・ドメインに対してさらにリクエストが行われた場合にのみ更新されます。
つまり、ユーザー認証および認証の状態は、Access Managerと管理者により制御されます。特定のアプリケーションの現在のアイドル時間は、Access Managerとアプリケーション間で共有されます。アプリケーションは、セッションごとにユーザー独自の実行時データをプロビジョニングするため、早急にこれを削除して他のユーザーのために領域を空ける必要があります。
管理者はアプリケーション・ドメインの「サマリー」タブで、アプリケーション固有のセッション・オーバーライドを追加できます。表16-11に、指定された場合にグローバル・セッション設定をオーバーライドする、アプリケーション固有の設定を示します。
表16-11 アプリケーション固有セッションのタイミング・オーバーライド
要素 | 説明 |
---|---|
アイドル・タイムアウト |
Access Managerでは、以前は最終アクセス時間の値をセッション内に格納していました。アプリケーションごとに最大アイドル時間を施行するため、Access Managerには新たにアプリケーション固有の最終アクセス時間フィールドが含まれ、これを保持します。これには、アプリケーションごとのアイドル・タイムアウト・オーバーライドが定義されているセッション中に参照したドメインの各サブセットの最終アクセス時間が入力されます。これは、オーバーライドが定義されていないドメインでは不要です。そのようなデータに対してチェックは行われません。 デフォルト: 未定義 ノート:
|
詳細は、「オプションのアプリケーション固有セッション設定オーバーライドの表示または変更」を参照してください。
16.4.4 グローバル・セッション設定の表示または変更
有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して共通セッションのライフサイクル設定を変更できます。
詳細は、「グローバル・セッション・ライフサイクル設定」を参照してください。
16.4.5 オプションのアプリケーション固有セッション設定オーバーライドの表示または変更
有効な管理者の資格証明を持つユーザーは、指定されたグループの1つ以上のアプリケーション・ドメインに対するオプションのセッション設定を変更できます。
詳細は、「アプリケーション固有のセッション・オーバーライド」を参照してください。
16.5 アクティブなサーバー側セッションの管理
この項では、1ユーザーまたは全ユーザーの1つまたは複数のセッションを特定し、削除する方法を説明します。ここでは、次の情報が提供されます。
16.5.1 セッション管理コントロール
「セッション管理」ページは、Oracle Access Managementコンソールの「構成」セクションからアクセスできます。
図16-2に、「セッション管理」ページを示します。詳細は、図の後に説明します。
表16-12では、フィルタ条件に基づいて問合せを作成できる「セッション管理」ページおよび検索コントロールについて説明します。
表16-12 セッション管理のコントロールと結果表
名前 | 説明 |
---|---|
すべてのユーザー・セッションを削除 |
すべてのユーザーのアクティブ・セッションを削除するには、このコマンド・ボタンを選択します。 ノート: 操作を確認または拒否できる「確認」ウィンドウが表示されます。 |
保存済の検索 |
再使用のために以前に保存した検索基準がリストされたドロップダウン・メニュー。検索のリストは、検索基準を保存するたびに使用可能になります。 このドロップダウン・メニューには、「保存済の検索」の他に「パーソナライズ...」オプションも含まれています。「パーソナライズ」を選択した場合、「デフォルトとして設定」や「自動的に実行」などを新たに選択して、保存済検索基準の動作を変更できます。 |
一致、すべて、任意 |
検索中に、指定した条件のいずれかに一致させるか、またはすべてに一致させることができます。 ノート: リソースが |
ユーザーID |
特定のユーザーIDをフィールドに入力して「検索」ボタンをクリックすると、そのユーザーのすべてのアクティブ・セッションが表示されます。不完全な文字列およびワイルド・カードを使用できます。ドロップダウン・メニューには、検索に使用できる「次で始まる」、「次と等しい」、「次を含む」などのオプションが含まれています。 |
クライアントIPアドレス |
クライアントIPアドレスを入力して「検索」ボタンをクリックすると、そのユーザーのすべてのアクティブ・セッションが表示されます。不完全な文字列およびワイルド・カードを使用できます。ユーザーID検索およびクライアントIPアドレス検索を支援する同じリストが使用可能です。 |
検索 |
このボタンをクリックすると、フォームの基準に基づいて検索が開始されます。 ノート: 検索問合せはまとめてAND化され、結果が戻されます。 |
リセット |
このボタンをクリックすると、フォームのすべての基準がクリアされます。 |
フィールドの追加 |
検索フォームに追加する様々なオプションを選択できるドロップダウン・メニューを表示します。これには、「クライアントIPアドレス」、「IDストア」、「偽装」およびその他のオプションが含まれることがあります。
項目を追加した後、検索を支援するリストが使用可能になります。 |
並替え |
検索フィールドを並べ替えることができるポップアップ・ダイアログを表示します。 |
ビュー |
結果表の上にある「表示」メニューからコマンドを選択して、表を構成します。次のコマンドを使用できます。
|
削除 |
結果表で削除する項目を選択した後、このコマンド・ボタン(赤いX)を選択します。 ノート: セッション検索基準が一般的なものである場合(たとえば、ワイルドカード(*)のみを使用する場合など)、大きなセッション・リストからセッションを削除する際に制限があります。セッション検索基準を十分に細分化することによって比較的小さな結果セット(理想的には20以下)を取得することをお薦めします。 付記: 操作を確認または拒否できる「確認」ウィンドウが表示されます。 |
デタッチ |
結果の表を展開してフルページ表示にするには、「デタッチ」をクリックします。 ノート: 表がすでにデタッチされてフルページ表示になっている状態で「デタッチ」をクリックすると、「セッション管理」ページに戻ります。 |
結果表(名前なし) |
特定ユーザーのアクティブ・セッションを検索後、表に結果が表示されます。詳細には次の情報が含まれます。
|
ノート:
-
検索基準で選択されたフィールドに対するオプションisunsetは、対応するフィールド値が設定されていないセッションを戻します。たとえば、検索基準が「クライアントIPアドレス」でオプションがunsetである場合、検索は、クライアントIPアドレスが設定されていないセッションを戻します。
-
検索基準で選択されたフィールドに対するオプションisnullは、対応するフィールド値がnullに設定されているセッションを戻します。
たとえば、検索基準が「ユーザーID」でオプションがisnullである場合、検索はUserID値がnullに等しいセッションを戻します。
16.5.2 アクティブ・セッションの検索および管理
有効な管理者の資格証明を持つユーザーは、検索結果表の構成、特定ユーザーのアクティブ・セッションの特定、特定ユーザーの1つ以上のセッションの削除、またはすべてのユーザーのすべてのセッションの削除を実行できます。
リソースがAnonymousScheme
によって保護されている場合、セッション検索には表示されません。
関連項目:
必要のないステップはスキップしてください。OAMサーバーが稼働している必要があります。
-
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
-
「アプリケーション・セキュリティ」コンソールで、「セッション管理」をクリックします。
「ユーザー名」フィールドと結果表を含む「セッション管理」の「検索」ページが表示されます。
-
フィールドの追加: 「フィールドの追加」リストから、目的のフィールド名を選択します(表16-12)。
-
演算子の選択: 選択した検索フィールドの演算子のリストを開き、目的の関数を選択します。
-
セッションの検索:
-
目的の問合せフィールドで、基準を入力します(ワイルド・カード(*)の使用は任意)。
-
「検索」ボタンをクリックして、基準のいずれかまたはすべてに一致するセッションを探します。
-
結果表を確認します。
-
必要に応じて繰り返し、検索を絞り込みます。
-
-
結果表の構成: 「表示」メニューの機能を使用して、目的の結果表を作成します。
-
セッションの削除:
-
結果表で、削除する1つ以上のセッションをクリックします。
-
「削除」(x)ボタンをクリックして、選択したセッションを削除します。
-
「はい」をクリックして、選択したセッションの削除を確認します(または「いいえ」をクリックして、削除操作を取り消します)。
-
必要に応じてユーザーに通知します。
-
-
すべてのユーザーのセッションの削除:
-
右上隅にあるすべてのセッションを削除ボタンをクリックします。
-
確認を求めるメッセージが表示されたら、「はい」をクリックします。
-
-
終了したら「セッション管理」ページを閉じます。
-
「サーバー側セッション操作の検証」に進みます。
16.6 サーバー側セッション操作の検証
構成したセッション・ライフサイクル操作を検証できます。
-
認証:
-
管理資格証明以外の資格証明を使用して、ブラウザでリソースにアクセスします。
-
「アクティブ・セッションの検索および管理」の説明に従って、セッションが存在することを検証します。
-
-
複数のセッション:
-
(Cookieを削除した)2番目のブラウザで同じリソースにアクセスします。
-
2つのセッションが存在することを検証します。
-
-
すべてのセッションを削除し(「アクティブ・セッションの検索および管理」のステップ7)、アクティブ・セッションが削除されていることを確認します。
-
再認証の検証:
-
2番目のブラウザ(ステップ2)で別のリソースにアクセスして、再認証を要求されることを確認します。
-
そのリソースに必要な資格証明を入力します。
-
セッションが作成されていることを検証します。
-
-
データベースの検証:
-
すべてのセッションを削除します。
-
データベースに接続し、次の問合せを実行します。
SQL> select * from am_session
-
次の結果が得られることを確認します。
no row selected
-
2番目のブラウザで別のリソースにアクセスします。
-
データベースに接続し、次の問合せを実行します。
SQL> select * from am_session
-
次のようなデータが1行表示されることを確認します。
1 rows selected
-
OAM_SESSION_ATTRIBUTESから行を選択して、そのユーザーのデータが存在することを確認します。
-
16.7 セッション上のCRUD操作でのREST APIの使用
管理者がSession REST APIを使用して実行できるタスクを次に示します。
16.7.1 Session REST APIを使用したセッションの検索
Session REST API Userロールを持つ管理者は、searchSessions APIを使用してユーザー・セッションを検索することができます。
ノート:
セッションを検索すると、問合せあたり28セッションのみリストされ、表示された探索結果はページ付けされません。16.7.2 Session REST APIを使用したセッションの更新
Session REST API Userロールを持つ管理者は、updateSessions APIを使用してセッションを更新することができます。