6.3 X509認証モジュールの作成
X509認証モジュールは、クライアントのX.509証明書の属性をLDAPのユーザー属性に対して検証する必要があることを示す追加プロパティを含むLDAPプラグインに似ています。「X509認証モジュールの作成」ページを使用して、新しいX509認証モジュールを作成します。
次の表では、「X509認証モジュールの作成」ページの要素について説明します。
要素 | 説明 |
---|---|
名前 |
このモジュールの一意の名前を入力します。 |
一致するLDAP属性 |
指定されたX509証明書属性値を検索するLDAP識別名属性を指定します。 例: 証明書のサブジェクトEMAILがme@example.comで、これをLDAP属性mailと照合する必要がある場合、LDAP問合せでは、LDAPから、me@example.com (cn)という値を持つmail属性を検索する必要があります。 |
X509証明書属性 |
公開キーのバインドに使用する証明書属性を指定します。 例、サブジェクト内の属性、証明書から抽出される発行者スコープ(subject.DN、issuer.DN、subject.EMAIL)。 |
証明書検証有効 |
X.509証明書検証を有効にする場合に選択します。選択されていない場合は無効です。 有効化された場合、OAMサーバーは証明書検証を実行します(OAMサーバーに渡される前にWebLogicサーバーで証明書を捕捉して検証することはありません)。Access Managerが証明書のパス検証をすべて実行します。 |
OCSP有効 |
オンライン証明書ステータス・プロトコルを有効にする場合に選択します。選択されていない場合は無効です。値はtrueまたはfalseです。 例: OCSP有効 - true。 ノート:「OCSP有効」を選択した場合のみ、「OCSPサーバー別名」、「OCSP応答者URL」および「OCSP応答者タイムアウト」が必要です。 |
OCSPサーバー別名 |
oamkeystoreファイル内のCA証明書を指すOSCSPレスポンダの別名(別名と実際のインスタンス名間のマッピングまたはIPアドレスとOSCSPレスポンダ・インスタンス間のマッピング)を指定します。 |
OCSP応答者URL |
オンライン証明書ステータス・プロトコル応答者のURLを入力します。 例: OpenSSL応答者URL: http: //localhost:6060。 |
OCSP応答者タイムアウト |
証明書の更新前の限定された期間に、証明書の期限が切れているユーザーがOAMサーバーにアクセスできる猶予期間を指定します。 |
適用 |
「適用」をクリックすると、このX509認証モジュールが送信されます。 |
関連項目
Oracle Access Management管理者ガイドの認証コンポーネントと共有ポリシー・コンポーネントの管理