ユーザー・アイデンティティ・ストアの作成

このページには、環境にあわせて編集できるストア設定およびデフォルト設定の詳細を入力するフィールドがあります。このページにアクセスするには、OAM IDストアの下の「作成」をクリックします。

「ユーザー・アイデンティティ・ストアの作成」ページには、次のセクションがあります。

場所と資格証明
ユーザーとグループ
接続の詳細
パスワード管理

次の表では、「ユーザー・アイデンティティ・ストアの作成」ページの要素について説明します。

要素	説明
ストア名	この登録の一意の名前を入力します(30文字まで入力可能)。
ストア・タイプ	サポートされているすべてのLDAPプロバイダのリストから選択します。
説明	この「ストア名」の簡単な説明を入力します。
SSLの有効化	ディレクトリ・サーバーとOAMサーバーの間のSSLを有効にする場合に、このボックスを選択します。
ネイティブIDストア設定の使用	LDAP認証モジュールで固有のlocked/disabled/pw_must_changecodeの認証コードの取得を有効にする場合に、このボックスを選択します。
プリフェッチされた属性	カンマ区切りのユーザー属性のリスト。例: 電子メール、電話、モバイル。注意: OAMサーバーは、アイデンティティ・ストアに対してユーザーを認証している間、メモリーにユーザー属性のリストをキャッシュします。キャッシュされた値を使用して、認証ポリシーの条件を計算します。プリフェッチされた属性では、ユーザー・アイデンティティ・ストアへのラウンド・トリップを回避することで、パフォーマンスを大幅に改善します。OAM管理者は、認証および認可ポリシー・レスポンス・ヘッダーと認可条件で使用されるすべてのユーザー属性が、ユーザー・アイデンティティ・ストア・プロファイルでプリフェッチされた属性として定義されていることを確認する必要があります。

場所と資格証明

次の表では、「ユーザー・アイデンティティ・ストアの作成」ページの「場所と資格証明」セクションの要素について説明します。

要素説明

要素	説明
場所	LDAPホストのURLを指定します(ポート番号を含む)。1つ以上のLDAP URIを`host:port`の形式で入力します。複数のURIは、スペースまたは改行で区切る必要があります(Oracle Access Managementでは複数のLDAP URIをサポートします(フェイルオーバー機能あり)。アイデンティティ・アサーション・プロバイダは、これらが出現する順序に基づいて、次のLDAP URLにフェイルオーバーします)。注意: サポートされるURLの文字数は、ブラウザのバージョンに基づきます。Oracle Access Managementおよびブラウザで処理できる長さを超えたURIをアプリケーションで使用しないようにしてください。
バインドDN	他のすべてのバインドが発生する接続プールのユーザーDNを指定します。ユーザーおよびグループ・ベースのDNには、適切な読取り権限および検索権限を持つ管理者ユーザー以外のユーザーをお薦めします。例: `uid=amldapuser,ou=people,o=org`。
パスワード	プリンシパルのパスワードを入力します。これはセキュリティのために暗号化されます。

場所

LDAPホストのURLを指定します(ポート番号を含む)。1つ以上のLDAP URIをhost:portの形式で入力します。複数のURIは、スペースまたは改行で区切る必要があります(Oracle Access Managementでは複数のLDAP URIをサポートします(フェイルオーバー機能あり)。アイデンティティ・アサーション・プロバイダは、これらが出現する順序に基づいて、次のLDAP URLにフェイルオーバーします)。

注意: サポートされるURLの文字数は、ブラウザのバージョンに基づきます。Oracle Access Managementおよびブラウザで処理できる長さを超えたURIをアプリケーションで使用しないようにしてください。

バインドDN

他のすべてのバインドが発生する接続プールのユーザーDNを指定します。ユーザーおよびグループ・ベースのDNには、適切な読取り権限および検索権限を持つ管理者ユーザー以外のユーザーをお薦めします。

例:

uid=amldapuser,ou=people,o=org。

パスワード

プリンシパルのパスワードを入力します。これはセキュリティのために暗号化されます。

ユーザーとグループ

次の表では、「ユーザー・アイデンティティ・ストアの作成」ページの「ユーザーとグループ」セクションの要素について説明します。

要素	説明
ログインID属性	ログインID (ユーザー名)を識別する属性を入力します。例: `uid`。
ユーザー・パスワード属性	ユーザーのパスワードを格納するユーザー・アイデンティティ・ストア(LDAPディレクトリ)の属性を入力します。これは、柔軟性を高めるために構成可能になっています。
ユーザー検索ベース	ユーザー・データが格納されたディレクトリ情報ツリー(DIT)のノードを指定します。これは、すべてのユーザー・データ検索において、ベースになる可能性が最も高くなります。例: `ou=people,ou=myrealm,dc=base_domain`。
ユーザー・フィルタ・オブジェクト・クラス	ユーザーの検索結果に含めるオブジェクト・クラスを、ユーザー・オブジェクト・クラス名のカンマ区切りリストで入力します。例: `user,person`。
グループ名属性	グループ名を識別する属性を入力します。デフォルト: cn。
グループ検索ベース	グループ・データが格納されたディレクトリ情報ツリー(DIT)のノードを指定します。これは、すべてのグループ・データ検索において、ベースになる可能性が最も高くなります。例: `ou=groups,ou=myrealm, dc=base_doamin`。
グループ・フィルタ・クラス	グループの検索結果に含めるオブジェクト・クラスを、グループ・オブジェクト・クラスのカンマ区切りリストで入力します。例: groups, groupOfNames。
グループ・メンバーシップ・キャッシュの有効化	このボックスを選択すると、グループ・キャッシュの値がtrueに設定されます。選択しないと、グループ・キャッシュの値がfalseに設定されます。デフォルト: true。
グループ・メンバーシップ・キャッシュ最大サイズ	グループ・キャッシュ・サイズの整数を入力します。デフォルト: 10000
グループ・メンバーシップ・キャッシュ存続時間	グループ・キャッシュ要素の存続時間の整数(秒)を入力します。デフォルト: 0

接続の詳細

次の表では、「ユーザー・アイデンティティ・ストアの作成」ページの「接続の詳細」セクションの要素について説明します。

要素	説明
最小プール・サイズ	接続プールの最小サイズを設定します。デフォルト: 10
最大プール・サイズ	接続プールの最大サイズを設定します。デフォルト: 50
待機タイムアウト	プールが完全に利用されている場合に、接続リクエストがタイムアウトするまでの待機時間(秒)を設定します。デフォルト: 120
非アクティブのタイムアウト	プールが完全に利用されている場合に、接続リクエストがタイムアウトするまでの非アクティブ状態の時間(秒)を設定します。
結果の時間制限	接続プールでのLDAP検索およびバインド操作の時間制限(秒)を設定します。デフォルト: 0
再試行回数	接続に失敗した場合に、接続を再試行できる回数を設定する整数を入力します。デフォルト: 3
参照ポリシー	次のドロップダウン・メニューのオプションから選択します。 follow - LDAP検索中に参照に従います(デフォルト)。 ignore - LDAP検索中に参照エントリを無視します。 throw - 参照の例外が発生し、コンポーネントのユーザーはこれを捕捉できます。

パスワード管理

次の表では、「ユーザー・アイデンティティ・ストアの作成」ページの「パスワード管理」セクションの要素について説明します。

要素	説明
パスワード管理の有効化	属性値に対するパスワード・ポリシーの強制を有効にする場合に選択します。パスワード・ポリシー内の対応するオプションも同様に構成する必要があります。
Oblixユーザー・スキーマの使用	標準のOracleスキーマではなく、OBLIXスキーマの使用を有効にする場合に選択します。
グローバル共通ID属性	「ユーザーID」属性名を指定します。この属性をパスワード・ポリシーの一部として使用し、ユーザーIDがパスワードの一部ではないことを確認します。
名属性	「名」属性を指定します。この属性をパスワード・ポリシーの一部として使用し、ユーザーの名がパスワードの一部ではないことを確認します。
姓属性	「姓」属性を指定します。この属性をパスワード・ポリシーの一部として使用し、ユーザーの姓がパスワードの一部ではないことを確認します。
電子メール・アドレス属性	現在サポートされていません。
接続テスト	クリックして接続を確認し、確認ウィンドウを閉じます。
適用	「適用」をクリックして、登録を送信します。