1. Oracle Access Managementコンソールのヘルプ・リファレンス
  2. アプリケーション・セキュリティ・ヘルプ
  3. エージェント・ヘルプ
  4. Webゲートの作成

2.1 Webゲートの作成

Webゲートの作成では、エージェント・タイプWebゲートのSSOエージェント登録パラメータについて説明します。次の表では、「Webゲートの作成」ページの要素について説明します。

要素 説明

名前

このエージェント登録を一意に識別できる名前。ほとんどの場合、Webゲートに使用されるWebサーバーをホストするコンピュータの名前です。

各エージェント登録を一意に識別する名前をお薦めします。ただし、次のことに注意してください。

  • エージェント名が存在する場合、エラーは発生せず登録は失敗しません。かわりに、まだ使用されていなければAccess Managerによってポリシーが作成されます。

  • ホスト識別子が存在する場合、一意のエージェント・ベースURLが既存のホスト識別子に追加され、登録が先に進みます。

説明

エージェント登録に関する簡単でわかりやすい説明を入力します。

ベースURL

WebゲートのWebサーバーがインストールされるコンピュータのホストおよびポート。

: http://example_host:portまたはhttps://example_host:port,、ポート番号はオプションです。

: 特定のベースURLは、一度のみ登録できます。このベースURLから、WebゲートがインストールされているWebサーバー・ドメイン(ホスト識別子要素で指定)への1対1マッピングがあります。ただし、1つのドメインが複数のベースURLを持つことができます。

アクセス・クライアント・パスワード

このWebゲートの一意のパスワードで、この登録プロセス中に割り当てられます。このフィールドはオプションです。

登録されたWebゲートがOAMサーバーに接続するときは、認可されていないWebゲートがOAMサーバーに接続してポリシー情報を取得しないように、認証にこのパスワードが使用されます。

ホスト識別子

この識別子は、Webサーバー・ホストを表します。ここにはエージェントの名前フィールドの値が自動的にシードされます。

注意: 次に示すように、同じアプリケーション・ドメインとポリシーを使用して、1つのホスト識別子の下に、複数のOAM Webゲート(またはアクセス・クライアント)を登録できます。

  • Webゲートを登録するとき、ホスト識別子(任意に選択した名前)を作成し、「ポリシーの自動作成」を有効にできます。

  • ステップ1と同じホスト識別子を使用して2つ目のWebゲートを登録し、「ポリシーの自動作成」ボックスの選択を解除してポリシーが作成されないようにします。

ユーザー定義パラメータ

特定のWebゲートの動作を有効にするために入力できるパラメータ。

セキュリティ

エージェントとOAMサーバーの間の通信トランスポート・セキュリティのレベル(OAMサーバーに指定されたレベルと一致する必要があります)となり、次のいずれかを選択します。

  • オープン - トランスポート・セキュリティなし。

  • 簡易 - 動的に生成されるセッション鍵を使用するSSL v3またはTLS v1.0のセキュア・トランスポート。

  • 証明書 - サーバー側x.509証明書を使用するSSL v3またはTLS v1.0のセキュア・トランスポート。このオプションを選択すると、「エージェント・キー・パスワード」を入力するフィールドが表示されます。

エージェント・キー・パスワード

秘密鍵ファイル(aaa_key.pem)は、DESアルゴリズムを使用して暗号化されます。エージェント・キー・パスワードは、不明瞭化された形式でpassword.xmlに保存され、サーバーがpassword.xmlを生成する際に必要とされます。ただし、このパスワードはサーバーでは保持されません。

仮想ホスト

複数のWebサイトとドメイン名を含むWebサーバーにWebゲートをインストールした場合は、このボックスを選択します。WebGateは、サーバー上のすべてのWebサイトを保護できる場所にインストールする必要があります。

ポリシーの自動作成

エージェントの登録中、自動的に作成された認証および認可ポリシーを使用できます。デフォルトで、このオプションが選択(有効化)されます。

登録およびポリシーの共有: 別々のWebサーバーにインストールされた複数のWebゲート(またはアクセス・クライアント)は、同じリソースを保護するために1つの登録およびポリシーを共有できます。このことは、高可用性フェイルオーバー環境で役立ちます。手順は次のとおりです。

  • Webゲート1 - 最初のWebゲートを登録し、「ポリシーの自動作成」を有効にして、ホスト識別子とポリシーを生成します。

  • Webゲート2 - 2つ目のWebゲートを登録し、最初のWebゲートと同じホスト識別子を指定して、「ポリシーの自動作成」を無効にします。

2つ目のエージェントの登録後、どちらのWebゲートも同じホスト識別子とポリシーを使用します。

IPの検証

クライアントのIPアドレスがシングル・サインオン用に生成されたObSSOCookieに格納されたIPアドレスと同じであることを確認する場合は、このボックスを選択します。このオプションを選択すると、IPの検証例外を入力できるフィールドが表示されます。

IPの検証例外

標準的なアドレス表記を使用して、検証から除外するIPアドレスを入力します。

例: 10.20.30.123。

ObSSOCookieに格納されているIPアドレスがクライアントのIPアドレスに一致する必要があります。一致しない場合はCookieが拒否され、ユーザーは再認証が必要になります。

戻る

「戻る」をクリックすると、エージェント登録ウィザードが戻ります。

終了

「終了」をクリックして、登録を完了します。

取消

「取消」をクリックすると、ページに加えた変更が取り消されます。

リソース・リスト

次の表では、「Webゲートの構成」ページの「リソース・リスト」セクションの要素について説明します。

要素 説明

保護されているリソース・リスト

保護されているアプリケーションのURI (例: /myapp/login)。

保護されているアプリケーションの各URIは、保護されているリソース・リストの表の新しい行で指定する必要があります。

デフォルトURI: /**

デフォルトは、複数のディレクトリにまたがるゼロまたは複数の中間レベル内にある任意の文字シーケンスに一致します。

パブリック・リソース・リスト

それぞれのパブリック・アプリケーションは、パブリック・リソース・リストの表の新しい行で指定する必要があります。

追加

保護されているリソースの追加 - 「保護されているリソース・リスト」にリソースを追加するには、「追加」ボタンをクリックします。各URIは表の新しい行で指定する必要があります。

例:/financialを追加すると(さらに、/myfinancialの追加を繰り返すと)、「ポリシーの自動作成」が選択されている場合は、アプリケーション・ドメインの指定したポリシーに、次のURLがシードされます。

  • /financialから生成されるリソースURL /financial/**

  • /myfinancialから生成されるリソースURL /myfinancial/**

  • /**

パブリック・リソースの追加 - 「追加」ボタンをクリックして、リソースを「パブリック・リソース・リスト」に追加します。

例: /peopleを追加すると、次のURLが、ここと、アプリケーション・ドメインに含められます(「ポリシーの自動作成」が選択されている場合)。

/people

削除

行を選択し、「削除」をクリックして、行を削除します。

Sortasc

クリックすると、列内のアイテムが昇順でソートされます。

降順ソート

クリックすると、列内のアイテムが降順でソートされます。

関連項目

Oracle Access Management管理者ガイドエージェントおよび登録の概要